Более 200 тысяч сайтов на WordPress остаются под угрозой захвата из-за серьёзной уязвимости в популярном плагине Post SMTP.
Слабое звено — версия до 3.3.0, где нарушена система контроля доступа.
Проблема позволяет злоумышленникам с низкими правами, например подписчикам, получить доступ к конфиденциальной почте и перехватывать письма для сброса пароля администратора.
Уязвимость (CVE-2025-24000) была выявлена исследователем безопасности и 23 мая передана в компанию PatchStack. Она получила высокий балл серьёзности — 8.8 из 10. Ошибка заключалась в том, что API-проверка плагина удостоверялась лишь в наличии входа в систему, но не проверяла уровень доступа пользователя. Это открыло путь для хищения административных прав через просмотр логов электронной почты.
Разработчик плагина, Саад Икбал, отреагировал быстро и уже 26 мая предоставил обновлённую версию с проверкой привилегий в функции get_logs_permission. Обновление было выпущено 11 июня в составе версии Post SMTP 3.3.0. Однако, по статистике WordPress.org, менее половины пользователей обновились — только 48,5%.
Особенно тревожно, что почти 25% сайтов до сих пор работают на версии 2.x, которая содержит ещё больше уязвимостей. Эксперты призывают администраторов срочно обновить Post SMTP до последней версии, иначе сайты могут быть легко взломаны через элементарную манипуляцию с почтовыми логами.
Слабое звено — версия до 3.3.0, где нарушена система контроля доступа.

Проблема позволяет злоумышленникам с низкими правами, например подписчикам, получить доступ к конфиденциальной почте и перехватывать письма для сброса пароля администратора.
Уязвимость (CVE-2025-24000) была выявлена исследователем безопасности и 23 мая передана в компанию PatchStack. Она получила высокий балл серьёзности — 8.8 из 10. Ошибка заключалась в том, что API-проверка плагина удостоверялась лишь в наличии входа в систему, но не проверяла уровень доступа пользователя. Это открыло путь для хищения административных прав через просмотр логов электронной почты.
Разработчик плагина, Саад Икбал, отреагировал быстро и уже 26 мая предоставил обновлённую версию с проверкой привилегий в функции get_logs_permission. Обновление было выпущено 11 июня в составе версии Post SMTP 3.3.0. Однако, по статистике WordPress.org, менее половины пользователей обновились — только 48,5%.
Особенно тревожно, что почти 25% сайтов до сих пор работают на версии 2.x, которая содержит ещё больше уязвимостей. Эксперты призывают администраторов срочно обновить Post SMTP до последней версии, иначе сайты могут быть легко взломаны через элементарную манипуляцию с почтовыми логами.
Для просмотра ссылки необходимо нажать
Вход или Регистрация