Astăzi discutăm despre un bug care amenință sute de mii de site-uri WordPress: o vulnerabilitate critică în pluginul Post SMTP, folosit pentru trimiterea de emailuri, a fost exploatată pentru a prelua conturi de administrator pe site-uri din întreaga lume.
Post SMTP a devenit popular ca alternativă la funcția nativă wp_mail(), oferind mai mult control și fiabilitate la trimiterea mesajelor. Din nefericire, o defecțiune gravă în modul în care pluginul stochează și afișează jurnalele de email a permis atacatorilor să vizualizeze conținutul mesajelor logate fără nicio autorizare. Problema a fost raportată pe 11 octombrie de cercetătorul netranger către firma de securitate Wordfence și a primit identificatorul CVE-2025-11833, cu un scor de severitate 9, 8 din 10, adică extrem de critic.
Vulnerabilitatea se află în constructorul _construct al clasei PostmanEmailLogs, care redă direct conținutul emailurilor din jurnal la cerere. Deoarece nu se efectuează verificări de capacitate sau permisiuni înainte de afișare, un atacator neautentificat poate citi mesajele înregistrate. În practică, asta înseamnă că se pot obține linkuri de resetare parolă trimise prin email; cine deține acel link poate reseta parola unui administrator și prelua controlul complet al site-ului. Este un scenariu clasic, simplu și eficient de preluare a conturilor.
Wordfence a testat exploitul pe 15 octombrie și l-a notificat pe dezvoltatorul pluginului, Saad Iqbal, în aceeași zi. Repararea a fost publicată pe 29 octombrie sub forma versiunii 3.6.1 a Post SMTP. Datele de pe WordPress.org arată că aproximativ jumătate dintre utilizatori au făcut actualizarea după lansare, ceea ce înseamnă că în continuare cel puțin 210.000 de site-uri rămân vulnerabile, un număr semnificativ, nu doar o statistică rece.
Pe 1 noiembrie, actorii rău intenționați au început exploatarea activă a CVE-2025-11833. De atunci, Wordfence raportează că a blocat peste 4.500 de încercări de exploatare asupra clienților lor. Recomandarea clară pentru proprietarii de site-uri care folosesc Post SMTP este să facă urgent actualizarea la versiunea 3.6.1 sau să dezactiveze pluginul până la aplicarea patch-ului, pentru a preveni preluări de conturi.
Nu este prima dată când Post SMTP are probleme legate de jurnalele de email. În iulie, PatchStack a semnalat o altă vulnerabilitate, CVE-2025-24000, care permitea accesul la jurnalele de email chiar și de la nivelul unui utilizator subscriber. Consecințele erau asemănătoare: posibilitatea de a declanșa resetări de parole, interceptarea mesajelor și, în final, preluarea conturilor de administrator.
Această situație evidențiază două lucruri concrete: numele pluginului Post SMTP și reperele temporale, 11 octombrie raportarea inițială, 15 octombrie validarea, 29 octombrie patch-ul și 1 noiembrie debutul exploatării active. Ele arată cât de rapid pot apărea riscuri pentru site-urile WordPress și cât de vitală este actualizarea promptă a pluginurilor. Dacă administrezi un site care folosește Post SMTP, verifică versiunea și actualizează imediat la 3.6.1 sau dezactivează pluginul până când este sigur. Fii precaut în privința emailurilor de resetare parolă și a oricăror linkuri suspecte primite.
Vrei să știi cum să verifici rapid versiunea unui plugin în WordPress sau cum să recuperezi un admin compromis?
Fii primul care comentează