Злоумышленники начали активно атаковать сайты на WordPress, используя критическую уязвимость CVE-2025-11833 в популярном плагине Post SMTP, насчитывающем более 400 000 установок. Данный дефект позволяет перехватывать письма со ссылками на сброс пароля и тем самым захватывать учетные записи администраторов, получая полный контроль над сайтом.
Что произошло: таймлайн инцидента и охват
Об уязвимости сообщил исследователь с ником netranger 11 октября; 15 октября разработчик плагина был уведомлен компанией Wordfence. Исправление вышло 29 октября в версии 3.6.1. По данным WordPress.org, обновиться успели около половины пользователей, что оставляет порядка 200 000 сайтов потенциально уязвимыми.
Технические детали: почему уязвимость опасна
Проблема находится в компоненте логирования плагина (PostmanEmailLogs) и связана с отсутствием корректной проверки прав при вызове конструктора _construct. В результате содержимое журналов отправленной почты может быть запрошено без авторизации. Это классический пример неправильной авторизации/IDOR, приводящий к раскрытию конфиденциальной информации.
В логах часто присутствуют уведомления о сбросе пароля со ссылками на изменение учетных данных. Получив такую ссылку, злоумышленник меняет пароль администратора и полностью компрометирует сайт. Уязвимы все версии до 3.6.1 (включительно 3.6.0); фикс содержится в 3.6.1. Оценка по CVSS — 9.8, что отражает критичность и простоту эксплуатации.
Эксплуатация в дикой природе: данные защитников
По информации Wordfence, первые зафиксированные попытки эксплуатации начались 1 ноября. За последние дни компания заблокировала более 4500 атак на сайты клиентов. С учетом того, что Wordfence покрывает лишь часть экосистемы WordPress, реальное число попыток, вероятно, исчисляется десятками тысяч.
Практические рекомендации по защите сайтов на WordPress
Немедленные меры
1) Обновите Post SMTP до версии 3.6.1+. Это критично для устранения уязвимости. Если обновление невозможно — временно отключите плагин, особенно при наличии публично доступной панели авторизации.
2) Сбросьте пароли и токены: админам, редакторам, учётным записям интеграций SMTP; активируйте двухфакторную аутентификацию (2FA) для админов.
3) Проверьте логи: следы несанкционированной авторизации, неожиданные сбросы пароля, создание новых админов, изменения в настройках почты и URL сайта.
Усиление защиты
— Ограничьте доступ к wp-admin и wp-login по IP, включите WAF-правила от поставщиков безопасности, включите rate limiting на попытки входа.
— Минимизируйте сбор и хранение логов писем или отключите логирование, если оно не требуется. Убедитесь, что журналы недоступны из публичной сети.
— Проведите инвентаризацию плагинов: удалите неиспользуемые, обновите активные, включите автообновления для критичных компонентов.
Контекст: повторяемость дефектов в Post SMTP
Это уже вторая серьезная проблема в Post SMTP за последние месяцы. В июле 2025 года PatchStack сообщала о схожей уязвимости CVE-2025-24000, также позволявшей читать почтовые логи и перехватывать ссылки на сброс пароля, причём даже пользователям с минимальными правами. Повторяемость класса ошибок указывает на необходимость усиления процессов безопасной разработки и ревизии механизмов контроля доступа в плагине.
Сайты на WordPress остаются привлекательной целью из‑за широкой установленной базы и разнообразия плагинов. Чтобы снизить риск компрометации, своевременно обновляйте расширения, применяйте 2FA, ограничивайте доступ к административным интерфейсам и по возможности используйте веб-фаервол. Если ваш сайт использует Post SMTP и не обновлён до 3.6.1+, действовать нужно незамедлительно: установить патч, проверить логи, сменить пароли и включить дополнительные меры защиты.
