Критическая уязвимость в популярном WordPress-плагине Post SMTP, используемом для настройки отправки электронной почты, подвергла риску более 400 000 веб-сайтов. Проблема, получившая идентификатор CVE-2025-24000, затрагивает версии 3.2.0 и ниже и может привести к полному захвату учетных записей администраторов.
Подробности уязвимости и ее влияние
Post SMTP, разработанный Saad Iqbal из WPExperts, предоставляет сайтам возможность настраивать отправку писем через сторонние почтовые сервисы с поддержкой OAuth, логированием переписки и проверкой DNS-записей. Однако из-за ошибки в системе контроля доступа плагин стал потенциальным инструментом для злоумышленников.
Проблема заключается в недостаточной проверке прав доступа к REST API. В уязвимых версиях плагин лишь проверял, авторизован ли пользователь, но не учитывал его уровень привилегий. В результате даже зарегистрированные пользователи с минимальными правами (например, ролью "Подписчик") могли получать доступ к важным функциям, включая просмотр статистики отправленных писем, их повторную отправку и чтение полного содержимого логов.
Особую опасность представляет возможность перехвата писем сброса паролей и других конфиденциальных уведомлений. Злоумышленник, получивший доступ к такой информации, мог захватить учетные записи администраторов и получить полный контроль над сайтом.
Уязвимость возникла из-за некорректной работы функции get_logs_permission, отвечающей за проверку прав доступа к API. Вместо проверки прав (например, через manage_options - стандартный механизм WordPress для ограничения административных функций) плагин лишь удостоверялся, что запрос отправлен авторизованным пользователем. Это позволяло обходить встроенную систему ролей WordPress и получать доступ к критически важным данным.
Разработчики уже выпустили исправленную версию плагина - 3.3.0, в которой устранена проблема с проверкой прав доступа. Владельцам сайтов, использующим Post SMTP, настоятельно рекомендуется немедленно обновить плагин до актуальной версии. Также рекомендуется проверить журналы активности пользователей на предмет подозрительных действий, которые могли быть совершены до установки патча.
Этот случай в очередной раз демонстрирует, насколько важна тщательная проверка прав доступа при разработке WordPress-плагинов, особенно тех, которые работают с конфиденциальными данными, такими как электронная почта. Уязвимости, связанные с недостаточным контролем привилегий, остаются одной из самых распространенных проблем в экосистеме WordPress и могут привести к катастрофическим последствиям, если их вовремя не устранить.
Эксперты по безопасности напоминают, что даже плагины с хорошей репутацией могут содержать критические уязвимости, поэтому необходимо регулярно обновлять все компоненты сайта и отслеживать информацию о новых угрозах. Владельцам WordPress-сайтов также стоит обратить внимание на ограничение круга пользователей, имеющих доступ к административным функциям, и использовать двухфакторную аутентификацию для дополнительной защиты учетных записей.
На данный момент нет подтвержденных данных о массовых атаках с использованием этой уязвимости, однако ее критический характер делает оперативное обновление обязательным для всех пользователей Post SMTP. В случае если обновление по каким-либо причинам невозможно, рекомендуется временно отключить плагин до устранения проблемы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-24000
- https://patchstack.com/articles/account-takeover-vulnerability-affecting-over-400k-installations-patched-in-post-smtp-plugin
