200.000’den fazla WordPress web sitesi, Hacker’ların yönetici hesabının kontrolünü ele geçirmesini sağlayan SMTP Yazı eklentisinin savunmasız bir sürümünü kullanıyor.
Post SMTP, WordPress için 400.000’den fazla aktif kurulumu sayan popüler bir e -posta dağıtım eklentisidir. Varsayılanın yerini alıyor ‘wp_mail ()‘Daha güvenilir ve özellik açısından zengin bir işlev.
23 Mayıs’ta bir güvenlik araştırmacısı WordPress güvenlik firması Patchtack’e karşı güvenlik açığını bildirdi. Kusur şimdi CVE-2025-24000 olarak tanımlanmıştır ve 8.8 orta şiddet skoru aldı.
Güvenlik sorunu, SMTP’nin tüm sürümlerini 3.2.0’a kadar etkiler ve eklentinin REST API uç noktalarındaki kırık bir erişim kontrol mekanizmasından kaynaklanmaktadır, bu da yalnızca bir kullanıcının izin seviyelerini kontrol etmeden giriş yapılması durumunda doğrulanır.
Bu, aboneler gibi düşük ayrıcalıklı kullanıcıların tam e-posta içeriği içeren e-posta günlüklerine erişebileceği anlamına gelir.
Savunmasız sitelerde, bir abone bir yönetici hesabı için bir şifre sıfırlaması başlatabilir, günlükler aracılığıyla sıfırlama e -postasını kesebilir ve hesabın kontrolünü kazanabilir.
Kaynak: Patchtack
Eklentinin geliştiricisi Saad Iqbal, kusur hakkında bilgilendirildi ve PatchTack’in 26 Mayıs’ta gözden geçirmesi için bir düzeltme ile yanıt verdi.
Çözüm, hassas API çağrılarına erişim vermeden önce bir kullanıcının izinlerini doğrulayacak ‘get_logs_permission’ işlevine ek ayrıcalık kontrolleri dahil etmekti.
Düzeltme, 11 Haziran’da yayınlanan Post SMTP sürüm 3.3.0’a dahil edildi.
WordPress.org adresindeki istatistikleri indirin, eklentinin kullanıcı tabanının yarısından azının (%48,5) 3.3 sürümüne güncellendiğini gösterin. Bu, 200.000’den fazla web sitesinin CVE-2025-24000’e karşı savunmasız olduğu anlamına gelir.
96.800 siteye karşılık gelen kayda değer bir%24,2, hala ek güvenlik kusurlarına karşı savunmasız olan 2.x şubesinden SMTP versiyonları yayınlamakta ve bunları saldırılara açık bırakmaktadır.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.