Дослідники кібербезпеки виявили серйозну загрозу в одному з найпопулярніших WordPress-плагінів для управління електронною поштою. Уразливість CVE-2025-24000 у плагіні Post SMTP створює ризик компрометації для понад 200 000 веб-ресурсів, незважаючи на те, що виправлення вже доступне протягом кількох тижнів.
Аналіз критичної уразливості CVE-2025-24000
Виявлена проблема безпеки отримала оцінку 8,8 балів за шкалою CVSS, що відносить її до категорії критичних загроз. Основна причина уразливості полягає в неправильній реалізації системи контролю доступу до REST API ендпоінтів у версіях плагіна до 3.2.0 включно.
Архітектурна помилка в механізмі аутентифікації дозволяла системі перевіряти лише сам факт авторизації користувача, повністю ігноруючи рівень його привілеїв. Така реалізація відкриває можливості для ескалації привілеїв навіть користувачам з мінімальними правами доступу до WordPress-сайту.
Сценарій атаки та потенційні наслідки
Експлуатація уразливості дозволяє зловмисникам здійснити повний захват контролю над сайтом через наступну послідовність дій. Спочатку атакуючий з базовою роллю користувача (наприклад, Subscriber) отримує несанкціонований доступ до журналів електронної пошти, які містять повні тексти всіх відправлених повідомлень через плагін.
На другому етапі зловмисник ініціює процедуру відновлення пароля для облікового запису адміністратора сайту. Завдяки доступу до логів Post SMTP, атакуючий може перехопити лист з інструкціями для скидання пароля та отримати повний контроль над веб-ресурсом і всією пов’язаною з ним інформацією.
Процес виявлення та усунення проблеми
Уразливість була ідентифікована анонімним дослідником безпеки у травні 2025 року та передана фахівцям компанії PatchStack для подальшого аналізу. 26 травня розробники плагіна отримали детальний звіт про проблему та розпочали роботу над її усуненням.
Технічне рішення полягало в модифікації функції get_logs_permission, яка тепер виконує додаткові перевірки рівня привілеїв користувача перед наданням доступу до чутливих функцій API. Виправлена версія Post SMTP 3.3.0 була випущена 11 червня 2025 року та містить повне усунення описаної уразливості.
Поточна ситуація з безпекою та статистика оновлень
Незважаючи на доступність безпечної версії плагіна, аналіз статистики WordPress.org демонструє тривожні тенденції. На момент дослідження лише 48,5% користувачів оновилися до захищеної версії 3.3.0, залишаючи уразливими понад 200 000 веб-сайтів.
Особливо занепокоює той факт, що 24,2% користувачів продовжують використовувати застарілі версії 2.x, які містять не лише описану уразливість, але й інші відомі проблеми безпеки. Така ситуація створює сприятливе середовище для масштабних кібератак на WordPress-екосистему.
Власникам веб-сайтів, що використовують плагін Post SMTP, необхідно негайно оновитись до версії 3.3.0 або новішої. Регулярне оновлення плагінів та моніторинг повідомлень про безпеку мають стати невід’ємною частиною стратегії захисту будь-якого веб-ресурсу. Ігнорування таких оновлень може призвести до повної компрометації сайту та витоку конфіденційних даних користувачів.
