Эксперты по кибербезопасности зафиксировали массовые атаки на критическую уязвимость в популярном плагине Post SMTP для WordPress, который используют более 400 000 сайтов. Уязвимость позволяет злоумышленникам получать полный контроль над веб-ресурсами через перехват электронных логов.
Описание
Уязвимость получила идентификатор CVE-2025-11833 и оценку 9.8 баллов по шкале CVSS, что соответствует критическому уровню опасности. Проблема затрагивает все версии плагина до 3.6.1 включительно. Её суть заключается в отсутствии проверки прав доступа к функции просмотра логов электронной почты.
Злоумышленники могут без авторизации получать доступ к журналам отправленных писем, включая сообщения для сброса паролей. Получив ссылку для восстановления доступа, атакующие могут изменить пароль любой учётной записи, включая администраторские. Это приводит к полному захвату контроля над сайтом.
Первые сведения об уязвимости поступили исследователям 11 октября 2025 года. Публичное раскрытие информации состоялось 31 октября, а уже на следующий день, 1 ноября, начались активные атаки. Массовая эксплуатация уязвимости началась 2 ноября 2025 года.
По данным компании Wordfence, разрабатывающей решения безопасности для WordPress, её firewall заблокировал уже более 10 300 попыток эксплуатации данной уязвимости. Наиболее активные атаки исходят от IP-адресов 212.59.70.30 (свыше 5200 блокировок), 85.192.29.68 (более 700 блокировок) и 95.181.162.6 (свыше 420 блокировок).
Технические детали уязвимости показывают, что проблема связана с отсутствием проверки прав доступа в функции __construct. Это позволяет неавторизованным злоумышленникам читать произвольные записи в логах электронной почты, отправленной через плагин Post SMTP.
Типичная атака выглядит следующим образом: злоумышленник инициирует сброс пароля для учётной записи администратора, затем получает доступ к ссылке сброса через журнал электронной почты плагина. После этого атакующий может изменить пароль и получить полный контроль над сайтом.
Эксперты настоятельно рекомендуют всем владельцам сайтов на WordPress обновить плагин Post SMTP до версии 3.6.1 как можно скорее. Даже при наличии защиты через межсетевой экран обновление необходимо для обеспечения нормальной функциональности.
Владельцам сайтов, которые могли стать жертвами данной уязвимости, рекомендуется обратиться в службы инцидентного реагирования. Ситуация демонстрирует важность своевременного обновления компонентов веб-сайтов и необходимость многоуровневой защиты. Даже популярные плагины с сотнями тысяч установок могут содержать критические уязвимости, становясь мишенью для киберпреступников.
Индикаторы компрометации
IPv4
- 141.11.62.221
- 185.120.59.204
- 196.251.88.101
- 196.251.88.226
- 212.59.70.30
- 85.192.29.68
- 95.181.162.6
