Новости Уязвимость в плагине Post SMTP ставит под угрозу более 200 тысяч сайтов на WordPress

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
35.210
Репутация
13.280
Реакции
66.240
USD
0
Более 200 тысяч сайтов на WordPress остаются под угрозой захвата из-за серьёзной уязвимости в популярном плагине Post SMTP.

Слабое звено — версия до 3.3.0, где нарушена система контроля доступа.

Уязвимость в плагине Post SMTP ставит под угрозу более 200 тысяч сайтов на WordPress


Проблема позволяет злоумышленникам с низкими правами, например подписчикам, получить доступ к конфиденциальной почте и перехватывать письма для сброса пароля администратора.

Уязвимость (CVE-2025-24000) была выявлена исследователем безопасности и 23 мая передана в компанию PatchStack. Она получила высокий балл серьёзности — 8.8 из 10. Ошибка заключалась в том, что API-проверка плагина удостоверялась лишь в наличии входа в систему, но не проверяла уровень доступа пользователя. Это открыло путь для хищения административных прав через просмотр логов электронной почты.

Разработчик плагина, Саад Икбал, отреагировал быстро и уже 26 мая предоставил обновлённую версию с проверкой привилегий в функции get_logs_permission. Обновление было выпущено 11 июня в составе версии Post SMTP 3.3.0. Однако, по статистике WordPress.org, менее половины пользователей обновились — только 48,5%.

Особенно тревожно, что почти 25% сайтов до сих пор работают на версии 2.x, которая содержит ещё больше уязвимостей. Эксперты призывают администраторов срочно обновить Post SMTP до последней версии, иначе сайты могут быть легко взломаны через элементарную манипуляцию с почтовыми логами.


 
Назад
Сверху Снизу