Специалисты по информационной безопасности обнаружили серьезную уязвимость в популярном WordPress-плагине Post SMTP, которая создает угрозу для более чем 200 000 веб-сайтов. Проблема затрагивает один из наиболее востребованных инструментов для управления электронной почтой в экосистеме WordPress, насчитывающий свыше 400 000 активных установок.
Технические детали критической уязвимости CVE-2025-24000
Обнаруженная уязвимость получила идентификатор CVE-2025-24000 и высокую оценку в 8,8 балла по шкале CVSS, что указывает на критический уровень угрозы. Проблема кроется в некорректной реализации механизма контроля доступа к эндпоинтам REST API плагина Post SMTP версий до 3.2.0 включительно.
Основная проблема заключается в том, что система аутентификации проверяла только факт авторизации пользователя в системе, полностью игнорируя уровень его привилегий. Такая архитектурная ошибка открывает широкие возможности для эскалации привилегий даже пользователями с минимальными правами доступа.
Механизм эксплуатации и потенциальные последствия
Злоумышленники могут использовать данную уязвимость для получения полного контроля над WordPress-сайтом через следующую цепочку атак:
Пользователь с базовыми правами доступа (например, роль Subscriber) может получить доступ к логам электронной почты, содержащим полные тексты всех отправленных писем. Более того, атакующий способен инициировать процедуру сброса пароля для учетной записи администратора сайта.
Критическая уязвимость позволяет перехватывать письма с инструкциями по восстановлению пароля через доступ к журналам Post SMTP. Получив ссылку для сброса пароля администратора, злоумышленник может полностью захватить контроль над сайтом и всеми связанными с ним данными.
Процесс обнаружения и устранения уязвимости
Уязвимость была обнаружена анонимным исследователем безопасности в мае 2025 года и передана специалистам компании PatchStack, занимающейся аудитом безопасности WordPress-экосистемы. Разработчики плагина получили уведомление о проблеме 26 мая и оперативно приступили к разработке исправления.
Техническое решение заключалось в модификации функции get_logs_permission, которая теперь выполняет дополнительные проверки уровня привилегий пользователя перед предоставлением доступа к чувствительным функциям API. Исправленная версия Post SMTP 3.3.0 была выпущена 11 июня 2025 года.
Текущее состояние угрозы и статистика обновлений
Несмотря на доступность безопасной версии плагина, статистические данные WordPress.org показывают тревожную картину. На момент анализа только 48,5% пользователей обновились до защищенной версии 3.3.0, что означает уязвимость более 200 000 веб-сайтов.
Особую озабоченность вызывает тот факт, что 24,2% пользователей продолжают использовать устаревшие версии 2.x, которые содержат не только описанную уязвимость, но и другие известные проблемы безопасности. Такая ситуация создает широкое поле для потенциальных кибератак.
Владельцам WordPress-сайтов, использующим плагин Post SMTP, критически важно немедленно обновиться до версии 3.3.0 или выше. Регулярное обновление плагинов и мониторинг уведомлений о безопасности должны стать неотъемлемой частью стратегии защиты любого веб-ресурса. Игнорирование таких обновлений может привести к полной компрометации сайта и утечке конфиденциальных данных.
