Angreifer nutzen aktuell eine kritische Schwachstelle CVE-2025-11833 im beliebten WordPress-Plugin Post SMTP (über 400.000 Installationen), um Passwort-Zurücksetzungslinks abzufangen und Admin-Konten zu übernehmen. Wer den Patch nicht installiert hat, riskiert die vollständige Kompromittierung seiner Website.
Vorfall, Reichweite und Zeitlinie
Der Forscher netranger meldete die Sicherheitslücke am 11. Oktober. Am 15. Oktober informierte Wordfence den Entwickler, das Update erschien am 29. Oktober in Version 3.6.1. Laut WordPress.org hat bislang nur etwa die Hälfte der Installationen aktualisiert, was rund 200.000 potenziell verwundbare Websites zurücklässt.
Technische Analyse: IDOR in den E-Mail-Logs von Post SMTP
Die Schwachstelle sitzt im Log-Modul PostmanEmailLogs und resultiert aus fehlender Rechteprüfung beim Aufruf des Konstruktors _construct. Dadurch können Unbefugte ohne Authentifizierung Inhalte der E-Mail-Protokolle abrufen.
In diesen Logs finden sich regelmäßig Systemmails zur Passwort-Zurücksetzung mit direkten Änderungslinks. Wer den Link besitzt, kann das Kennwort eines Administrators ändern und die Seite vollständig übernehmen. Betroffen sind alle Versionen bis 3.6.0; die Version 3.6.1 enthält den Fix. Die Einstufung CVSS 9.8 spiegelt Kritikalität und geringe Ausnutzungshürde wider.
Der zugrunde liegende Fehler ist ein klassischer Fall von Insecure Direct Object Reference (IDOR): Interne Ressourcen (hier: E-Mail-Logs) sind erreichbar, ohne dass geprüft wird, ob der Anfragende die nötigen Berechtigungen besitzt. In Webanwendungen ist dies eine häufige Ursache für Datenexfiltration und Kontoübernahmen.
Beobachtungen zur aktiven Ausnutzung
Nach Angaben von Wordfence begannen die ersten dokumentierten Exploit-Versuche am 1. November. In wenigen Tagen blockierte der Anbieter mehr als 4.500 Angriffe bei Kundeninstallationen. Da Wordfence nur einen Teil des Ökosystems abdeckt, ist von deutlich höheren realen Angriffszahlen in der gesamten WordPress-Landschaft auszugehen.
Empfohlene Gegenmaßnahmen für WordPress-Betreiber
Sofortmaßnahmen
1) Update auf Post SMTP 3.6.1 oder höher. Ist ein Update kurzfristig nicht möglich, den Plugin-Betrieb vorübergehend aussetzen – insbesondere bei öffentlich erreichbarem Login.
2) Zugangsdaten erneuern. Admin-, Redakteurs- und Integrationskonten (SMTP/API-Tokens) zurücksetzen und zwei-Faktor-Authentifizierung (2FA) für Administratoren aktivieren.
3) Forensische Prüfung. Server- und WordPress-Logs auf unautorisierte Logins, ungewöhnliche Passwort-Resets, neue Admin-Benutzer sowie Änderungen an Mail- und Site-URL-Einstellungen prüfen.
Härtung und Prävention
– Zugriff auf wp-admin und wp-login per IP erlauben, einen Web Application Firewall (WAF) aktivieren und Rate Limiting für Login-Versuche erzwingen.
– E-Mail-Logging minimieren oder deaktivieren, wenn nicht erforderlich, und sicherstellen, dass Logdateien nicht aus dem Internet erreichbar sind.
– Plugin-Inventur: Unbenutzte Erweiterungen entfernen, aktive Plugins aktualisieren und für kritische Komponenten Auto-Updates einschalten.
Wiederkehrende Schwachstellen im Plugin Post SMTP
Es ist bereits die zweite schwerwiegende Schwachstelle im Post SMTP-Plugin binnen weniger Monate. PatchStack meldete im Juli 2025 die ähnliche CVE-2025-24000, die ebenfalls den Zugriff auf E-Mail-Logs und damit auf Passwort-Reset-Links erlaubte – teils sogar Nutzern mit sehr niedrigen Rechten. Das Muster spricht für Verbesserungsbedarf in Secure-Development-Prozessen und beim Access-Control-Design des Plugins.
Wer Post SMTP einsetzt und noch nicht auf 3.6.1+ aktualisiert hat, sollte umgehend handeln: Patch installieren, Logs prüfen, Passwörter und Tokens wechseln sowie WAF und 2FA aktivieren. Angesichts der aktiven Ausnutzung und der hohen Verbreitung von WordPress ist zeitnahes Patch-Management die effektivste Maßnahme, um Admin-Übernahmen zu verhindern und Betriebsrisiken nachhaltig zu reduzieren.
