Сайти на WordPress масово атакують через критичну уразливість CVE-2025-11833 у популярному плагіні Post SMTP (понад 400 000 інсталяцій). Помилка відкриває доступ до журналів вихідної пошти, що містять посилання на скидання пароля, унаслідок чого зловмисники можуть змінити пароль адміністратора і повністю взяти сайт під контроль.
Критична уразливість у Post SMTP: часові рамки та охоплення
Про проблему 11 жовтня повідомив дослідник netranger, а 15 жовтня розробника плагіна поінформувала компанія Wordfence. Виправлення з’явилося 29 жовтня у версії 3.6.1. За даними WordPress.org, оновилася приблизно половина інсталяцій, тож близько 200 000 сайтів залишаються потенційно вразливими.
Технічна сутність CVE-2025-11833: несанкціонований доступ до логів
Дефект зосереджений у модулі логування PostmanEmailLogs і пов’язаний із некоректною перевіркою прав під час виклику конструктора. У результаті журнали відправленої пошти можна було запитати без авторизації. Це класична помилка некоректної авторизації/IDOR, яка веде до розкриття конфіденційних даних.
У журналі часто містяться службові повідомлення про скидання пароля з унікальними посиланнями для зміни облікових даних. Потрапивши до зловмисника, таке посилання дозволяє оновити пароль адміністратора та заволодіти сайтом. Вразливими є всі версії до 3.6.1 (включно 3.6.0); патч доступний у 3.6.1. Оцінка CVSS 9.8 підкреслює критичність і простоту експлуатації.
Експлуатація в мережі: зафіксовані атаки та масштаби
За інформацією Wordfence, перші спроби експлуатації були помічені 1 листопада. За останні дні їхній захист заблокував понад 4500 атак на клієнтські сайти. З огляду на часткове покриття екосистеми WordPress, реальна кількість спроб, ймовірно, сягає десятків тисяч.
Як захистити сайт WordPress від CVE-2025-11833
Негайні дії
1) Оновіть Post SMTP до 3.6.1 або новішої версії. Якщо оновлення неможливе — тимчасово відключіть плагін, особливо за наявності публічної сторінки входу.
2) Перевипустіть секрети й облікові дані. Скиньте паролі адміністраторів, редакторів, інтеграцій SMTP; увімкніть двохфакторну автентифікацію (2FA) для адмінів.
3) Перевірте журнали подій. Шукайте нетипові входи, запити на скидання пароля, створення нових адмінів, зміни поштових налаштувань і URL сайту.
Посилення захисту
– Обмежте доступ до wp-admin і wp-login за IP, активуйте правила WAF і налаштуйте rate limiting на спроби входу.
– Мінімізуйте збір та зберігання поштових логів або вимкніть логування, якщо воно не потрібне; переконайтеся, що журнали недоступні з публічної мережі.
– Проведіть інвентаризацію плагінів: видаліть непотрібні, оновіть активні, увімкніть автооновлення для критичних компонентів.
Ширший контекст: повторювані помилки доступу в Post SMTP
Це вже друга резонансна уразливість у Post SMTP за останні місяці. У липні 2025 року PatchStack повідомляла про CVE-2025-24000, яка також відкривала читання поштових логів і перехоплення посилань на скидання паролів навіть користувачами з мінімальними правами. Повторюваність класу помилок свідчить про потребу посилення процесів безпечної розробки і ревізії контролів доступу в плагіні.
Сайти на WordPress залишаються привабливою ціллю через масштаб екосистеми та велику кількість сторонніх розширень. Якщо ви використовуєте Post SMTP і ще не оновилися до 3.6.1+, дійте негайно: встановіть патч, перевірте логи, змініть паролі та увімкніть 2FA. Додатково застосуйте WAF і обмежте доступ до адміністративних інтерфейсів. Своєчасні оновлення й базова кібергігієна суттєво знижують ризик компрометації.
