Post SMTP WordPress eklentisinde, web genelinde 400.000’den fazla aktif kurulumu etkileyen kritik bir güvenlik açığı keşfedildi.
CVSS puanı 9,8 olan ve CVE-2025-11833 olarak tanımlanan güvenlik açığı, kimliği doğrulanmamış saldırganların hassas e-posta günlüklerine erişmesine ve savunmasız WordPress sitelerinde hesap ele geçirme saldırıları gerçekleştirmesine olanak tanıyor.
Araştırmacılar, 1 Kasım 2025’ten bu yana 4.500’den fazla istismar girişimini belgeledi; bu da aktif ve büyüyen bir tehdit kampanyasının sinyalini veriyor.
11 Ekim 2025’te güvenlik araştırmacıları, Bug Bounty Programı aracılığıyla Wordfence’e, Post SMTP sürüm 3.6.0 ve önceki sürümlerde kritik bir yetkilendirme güvenlik açığını ortaya koyan bir güvenlik açığı raporu sundu.
Güvenlik açığı, eklentinin PostmanEmailLogs sınıf yapıcısındaki eksik yetenek kontrolünden kaynaklanıyor; bu denetim, günlüğe kaydedilen e-posta iletilerini görüntülemeden önce kullanıcı izinlerini doğrulayamıyor.
Bu gözetim, kimliği doğrulanmamış saldırganların eklentinin e-posta günlüğü işlevine herhangi bir kimlik doğrulama gereksinimi olmadan erişmesi için doğrudan bir yol oluşturur.
Post SMTP eklentisi, kapsamlı e-posta günlüğü yetenekleri sağlarken, WordPress’in varsayılan PHP posta işlevini daha güvenilir bir SMTP posta göndericisiyle değiştirmek üzere tasarlanmıştır.
Bununla birlikte, uygun yetkilendirme kontrollerinin bulunmaması, hassas sıfırlama bağlantıları içeren şifre sıfırlama e-postaları da dahil olmak üzere, internetteki herkesin yalnızca uygun URL parametrelerini ziyaret ederek e-posta günlüklerine erişebileceği anlamına gelir.
Saldırgan, yönetici hesabı için parola sıfırlama işlemini tetikleyerek, sıfırlama e-postasını günlüklerden ele geçirerek ve sıfırlama bağlantısını kullanarak hesabın güvenliğini tamamen tehlikeye atarak bu erişimi silahlandırabilir.
Saldırganlar içeri girdikten sonra site içeriğini değiştirmek, kötü amaçlı kod eklemek ve kalıcı erişim için potansiyel olarak arka kapıları dağıtmak için tam yönetici ayrıcalıklarına sahip olur.
Güvenlik açığı, WordPress site sahipleri için acil ve ciddi bir tehdit teşkil ediyor. Wordfence telemetrisi, saldırganların bu güvenlik açığını 1 Kasım 2025 gibi erken bir tarihte hedeflemeye başladığını ve güvenlik araştırmacılarının ilk günlerde 4.500’den fazla yararlanma girişimini engellediğini gösteriyor.
Güvenlik açığının kritik doğası ve etkilenen eklentinin geniş kurulu tabanı göz önüne alındığında, siber güvenlik uzmanları önümüzdeki haftalarda istismar faaliyetlerinde önemli bir artış bekliyor.
Wordfence Premium, Care ve Response kullanıcıları, güvenlik açığının doğrulanmasından yalnızca birkaç gün sonra, 15 Ekim 2025’te uygulamaya konulan güvenlik duvarı kuralları aracılığıyla korumaya kavuştu.
Ücretsiz Wordfence kullanıcıları, 14 Kasım 2025’te aynı korumayı alacak ve ücretli güvenlik çözümleri olmayan siteler için 30 günlük bir gecikme sağlayacak. Bu zaman çizelgesi, aktif güvenlik izlemesi olmayan kullanıcılar için manuel yama uygulamasının önemini vurgulamaktadır.
Yayınlanan Yama ve Öneriler
Satıcı, 29 Ekim 2025’te yetkilendirme bypassını ele alan tamamen yamalı bir sürüm olan Post SMTP 3.6.1’i yayınladı.
Netranger olarak bilinen güvenlik açığını keşfeden araştırmacı, Wordfence’in Hata Ödül Programı aracılığıyla 7.800 ABD Doları tutarında bir ödül aldı; bu, programın yüksek kaliteli güvenlik açığı araştırmasını ve sorumlu açıklama uygulamalarını teşvik etme konusundaki kararlılığını ortaya koydu.
WordPress site yöneticilerinin derhal Post SMTP sürüm 3.6.1 veya sonraki bir sürüme güncelleme yapması gerekir. Bu güvenlik açığının kritik niteliği, belgelenmiş etkin istismarla birleştiğinde bu güncellemeyi bir öncelik haline getiriyor.
Eklentinin eski sürümlerini çalıştıran siteler, hızlı yönetim erişimi isteyen tehdit aktörlerinin aktif hedefi olmaya devam ediyor.
Web sitesi sahipleri, ekosistem genelinde daha geniş bir koruma sağlamak için kurulum durumlarını doğrulamalı, yamayı uygulamalı ve bu tavsiyeyi WordPress topluluklarındaki diğer kişilerle paylaşmayı düşünmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.