Более 400 000 сайтов на WordPress оказались под угрозой полного захвата из-за критической уязвимости в популярном плагине Post SMTP. Уязвимость, получившая идентификатор CVE-2025-11833, позволяла неавторизованным злоумышленникам получать доступ к журналам электронной почты и перехватывать учетные записи администраторов.
Детали уязвимости
Уязвимость была обнаружена в плагине Post SMTP - Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App, который используется для замены стандартной PHP-функции отправки почты на SMTP-решение с расширенным функционалом. Проблема затрагивала все версии плагина до 3.6.0 включительно и получила критический рейтинг 9.8 по шкале CVSS.
Суть уязвимости заключалась в отсутствии проверки прав доступа в функции __construct класса PostmanEmailLogs. Это позволяло неавторизованным атакамщим получать доступ к журналам отправленных писем, включая сообщения для сброса паролей. Злоумышленник мог инициировать процедуру сброса пароля для учетной записи администратора, затем получить ссылку для восстановления из логов почты и установить новый пароль, получая полный контроль над сайтом.
Исследователь, известный под псевдонимом netranger, обнаружил и ответственно сообщил об уязвимости через программу вознаграждений Wordfence Bug Bounty Program 11 октября 2025 года. За свое открытие исследователь получил вознаграждение в размере 7800 долларов. Уже через день после получения отчета команда Wordfence подтвердила наличие уязвимости и начала работу над защитными мерами.
По данным мониторинга, массовые атаки с использованием этой уязвимости начались 1 ноября 2025 года. На текущий момент зафиксировано более 4500 попыток эксплуатации, которые были заблокированы системами защиты.
Разработчики плагина выпустили исправленную версию 3.6.1 - 29 октября 2025 года после оперативного уведомления через систему управления уязвимостями Wordfence Vulnerability Management Portal.
После получения административного доступа к сайту злоумышленники могут загружать вредоносные (malicious) плагины и темы, содержащие бэкдоры, изменять содержимое страниц для перенаправления пользователей на фишинговые ресурсы или устанавливать программы-вымогатели (ransomware). Учитывая масштабы распространения плагина, потенциальное воздействие этой уязвимости могло быть катастрофическим для интернет-экосистемы WordPress.
Эксперты по кибербезопасности настоятельно рекомендуют всем пользователям плагина Post SMTP немедленно обновиться до версии 3.6.1. Поскольку активная эксплуатация уязвимости уже началась, задержка с обновлением может привести к полному компрометированию сайта. Владельцам веб-ресурсов также следует проверить журналы доступа на предмет подозрительной активности и убедиться в актуальности используемых систем защиты.
Этот случай демонстрирует важность своевременного обновления компонентов веб-сайтов и эффективности программ ответственного раскрытия уязвимостей. Благодаря оперативной работе исследователя и скоординированным действиям между Wordfence и разработчиками плагина, критическая угроза была нейтрализована до того, как она смогла нанести масштабный ущерб.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-11833
- https://www.wordfence.com/blog/2025/11/400000-wordpress-sites-affected-by-account-takeover-vulnerability-in-post-smtp-wordpress-plugin
- https://www.wordfence.com/threat-intel/vulnerabilities/id/491f44fc-712c-4f67-b5c2-a7396941afc1
- https://plugins.trac.wordpress.org/browser/post-smtp/tags/3.5.0/Postman/PostmanEmailLogs.php#L51
- https://plugins.trac.wordpress.org/changeset/3386160/post-smtp
