Исследование специалистов показывает, что плагин Post SMTP, используемый на более чем 400 000 сайтов WordPress, содержал критическую уязвимость.
Она позволяла пользователям с минимальными правами (на уровне подписчика) перехватывать логи почтовых сообщений и захватывать административные аккаунты. Эта ошибка доступа, отслеживаемая как CVE‑2025‑24000 с оценкой CVSS 8.8 / 10, обнаружена в версиях плагина до 3.2.0 включительно.
Уязвимость выражается в том, что REST-API плагина проверяет лишь наличие входа пользователя, но не оценивает его полномочия. Это позволило злоумышленнику-подписчику просматривать полный текст писем, включая ссылки на сброс пароля, и затем получить контроль над администраторами сайтов.
Разработчик выпустил патч версии 3.3.0, устраняющий эту проблему. Однако согласно статистике, по состоянию на июль 2025 года приблизительно 40% сайтов с активным плагином всё ещё работают на уязвимых версиях, то есть около 160 000 сайтов остаются под угрозой.
Эксперты настоятельно призывают администрацию сайтов обновить Post SMTP до версии 3.3.0 или выше, провести ревизию пользовательских ролей и доступа, а также проверить логи на попытки несанкционированного доступа к почтовым журналам. Для особо чувствительных ресурсов рекомендуется временно деактивировать плагин или ограничить доступ к его REST-эндпоинтам через WAF или другие механизмы защиты.
Она позволяла пользователям с минимальными правами (на уровне подписчика) перехватывать логи почтовых сообщений и захватывать административные аккаунты. Эта ошибка доступа, отслеживаемая как CVE‑2025‑24000 с оценкой CVSS 8.8 / 10, обнаружена в версиях плагина до 3.2.0 включительно.
Уязвимость выражается в том, что REST-API плагина проверяет лишь наличие входа пользователя, но не оценивает его полномочия. Это позволило злоумышленнику-подписчику просматривать полный текст писем, включая ссылки на сброс пароля, и затем получить контроль над администраторами сайтов.
Разработчик выпустил патч версии 3.3.0, устраняющий эту проблему. Однако согласно статистике, по состоянию на июль 2025 года приблизительно 40% сайтов с активным плагином всё ещё работают на уязвимых версиях, то есть около 160 000 сайтов остаются под угрозой.
Эксперты настоятельно призывают администрацию сайтов обновить Post SMTP до версии 3.3.0 или выше, провести ревизию пользовательских ролей и доступа, а также проверить логи на попытки несанкционированного доступа к почтовым журналам. Для особо чувствительных ресурсов рекомендуется временно деактивировать плагин или ограничить доступ к его REST-эндпоинтам через WAF или другие механизмы защиты.
