В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2025-15404, которая описывает критическую уязвимость в популярном плагине Post SMTP для системы управления содержимым WordPress. Уязвимость, получившая идентификатор CVE-2025-11833, связана с отсутствием надлежащей процедуры авторизации в функции "__construct". Согласно данным, эксплуатация этой уязвимости позволяет удаленному злоумышленнику повысить свои привилегии на сайте и получить доступ к защищаемой информации, что фактически может привести к полному компрометированию ресурса.
Детали уязвимости
Уязвимость затрагивает все версии плагина Post SMTP до 3.6.0 включительно. Плагин используется для настройки и ведения логов отправки электронной почты через SMTP-серверы, заменяя стандартную почтовую функцию WordPress. Следовательно, он часто устанавливается на коммерческих и корпоративных сайтах, где важна надежная доставка уведомлений и транзакционных писем. Ошибка классифицируется как CWE-862, то есть "Отсутствие авторизации".
Уровень угрозы оценивается как критический по обеим основным шкалам CVSS. Базовая оценка по CVSS 2.0 достигает максимальных 10.0 баллов с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C. Это означает, что для атаки не требуется ни сетевого доступа высокой сложности, ни аутентификации, а последствия затрагивают полную конфиденциальность, целостность и доступность системы. По более современной шкале CVSS 3.x уязвимость получила 9.8 баллов при векторе AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, что подтверждает ее высочайшую опасность. Атака может быть проведена из любой сети без необходимости взаимодействия с пользователем и приводит к полномасштабному воздействию на целевой компонент.
Конкретно уязвимость заключена в классе "PostmanEmailLogs". Проблема возникает при обращении к журналам писем. Из-за недостаточной проверки прав доступа любой неавторизованный пользователь может получить доступ к функционалу, предназначенному только для администраторов. В результате злоумышленник может не только просматривать конфиденциальные логи писем, которые потенциально содержат служебную информацию, токены или данные пользователей, но и, вероятно, выполнять другие привилегированные действия. Это создает серьезный риск утечки данных и может служить первой ступенью для более глубокого проникновения в систему, например, для установки вредоносного кода (malicious payload) или обеспечения постоянного доступа (persistence).
Производитель плагина, WordPress Foundation, уже подтвердил наличие уязвимости и оперативно выпустил исправление. Уязвимость была устранена в версии плагина, следующей за 3.6.0. Разработчики исправили код, добавив необходимые проверки прав доступа в конструктор класса. Соответствующие изменения можно просмотреть в официальном репозитории плагина на ресурсе WordPress. Следовательно, основной и единственной рекомендованной мерой защиты является немедленное обновление плагина Post SMTP до последней актуальной версии.
Владельцам сайтов на WordPress, использующим этот плагин, необходимо как можно скорее проверить его версию в разделе "Плагины" панели администратора. Если установлена версия 3.5.0 или более ранняя, обновление является обязательным. После обновления рекомендуется проверить журналы доступа к сайту на предмет любых подозрительных активностей, которые могли произойти до установки патча. Хотя на момент публикации информация о наличии активных эксплойтов (exploit) уточняется, публикация деталей уязвимости в BDU и присвоение ей CVE-идентификатора повышают вероятность скорого появления инструментов для автоматической эксплуатации.
Данный инцидент лишний раз подчеркивает важность своевременного обновления всех компонентов веб-сайта, особенно плагинов, которые часто становятся мишенью для киберпреступников. Поскольку уязвимость связана с нарушением контроля доступа, она также напоминает о необходимости соблюдения принципа минимальных привилегий при настройке ролей пользователей на сайте. Эксперты по кибербезопасности рекомендуют не только регулярно обновлять ПО, но и отключать неиспользуемые плагины, а также проводить периодические аудиты безопасности. Таким образом, оперативная реакция на такие уведомления является ключевым элементом защиты любого веб-ресурса в современной цифровой среде.
Ссылки
- https://bdu.fstec.ru/vul/2025-15404
- https://www.cve.org/CVERecord?id=CVE-2025-11833
- https://plugins.trac.wordpress.org/changeset/3386160/post-smtp
- https://plugins.trac.wordpress.org/browser/post-smtp/tags/3.5.0/Postman/PostmanEmailLogs.php#L51
- https://www.wordfence.com/threat-intel/vulnerabilities/id/491f44fc-712c-4f67-b5c2-a7396941afc1
