Bir WordPress sitesi çalıştırıyorsanız ve e -posta teslimatı için SMTP Yazı eklentisine güveniyorsanız, bilmeniz gereken önemli bir şey var. Kritik bir güvenlik açığı, 3.2.0 sürümlerini etkilemektedir ve daha önce, aboneler gibi en düşük seviyeli kullanıcıların bile hiç görmedikleri veya gerçekleştirmedikleri eylemlere erişmeleri için izin vermiştir.
Bu sorun, eklentinin REST API’sinde kullanıcı izinlerini nasıl ele aldığına geldi. Eklenti yalnızca bir kullanıcı giriş yapmışsa kontrol edildi, ancak kullanıcının belirli özelliklere erişmek için uygun bir rol veya özellik olup olmadığını sormadı. Bu, temel bir hesabı olan herkesin e -posta günlüklerini görüntüleyebileceği, mesajları yeniden gönderebileceği ve hatta şifre sıfırlama mesajları dahil tam e -posta içeriğine erişebileceği anlamına geliyordu.
Bu son kısım, işlerin tehlikeli hale geldiği yerdir. Bu şifre sıfırlama e-postalarını görüntüleyerek, abone düzeyinde bir kullanıcı bir yönetici hesabının şifresini sıfırlayabilir. Oradan, site üzerinde tam kontrole sahiplerdi. Bu tür bir hesap devralma riski, WordPress’e dayanan herhangi bir site için aldığı kadar kötüdür.
Patch Stack’in raporuna göre, düzeltme, eklentinin geliştiricilerinin güncellendiği 3.3.0 sürümüne geldi. get_logs_permission işlev. Sadece bir kullanıcının giriş yapıp yapmadığını kontrol etmek yerine, şimdi manage_options tipik olarak sadece yöneticilere ait olan yetenek. Bu değişiklik kırık erişim kontrollerinde kapıyı kapattı ve hesabın devralma tehdidini durdurdu.
Şimdi CVE-2025-24000 olarak izlenen güvenlik açığı, başlangıçta Denver Jackson tarafından PatchTack’in Sıfır Gün programı aracılığıyla rapor edildi. Sorumlu açıklama 23 Mayıs 2025’te yapıldı ve 11 Haziran’a kadar Post SMTP’nin yamalı versiyonu kamuya açıklandı.
Bu eklentiyi kullanıyorsanız ve henüz güncellenmediyseniz, sürüm 3.3.0 veya daha yüksek çalıştırdığınızdan emin olun. Yorumlar, e -ticaret veya üyelikler için açık kayıtlı herhangi bir site, bu güvenlik açığı açılmamışsa özellikle risk altındadır. İzin mantıkındaki küçük bir gözetim, çoğu kullanıcı tarafından asla görülmemesi gereken son derece hassas verilere erişim açtığı durumlardan biridir.