WordPress Post SMTP Eklentisindeki Güvenlik Açığı, 400.000 Web Sitesini Hesap Devralma Saldırılarına Maruz Bırakıyor

WordPress Post SMTP eklentisindeki kritik bir güvenlik açığı, 400.000’den fazla web sitesini hesap ele geçirme saldırılarına karşı savunmasız bıraktı.

CVE-2025-11833 olarak tanımlanan güvenlik açığı, kimliği doğrulanmamış saldırganların hassas parola sıfırlama bilgileri içeren e-posta günlüklerine erişmesine olanak tanıyarak yönetici hesaplarının ve web sitelerinin tamamının tehlikeye atılmasına olanak tanıyor.

Kusur, eklentinin temel işlevindeki eksik yetkilendirme kontrolünden kaynaklanıyor ve tehdit aktörlerinin herhangi bir kimlik doğrulama bilgisi gerektirmeden kayıtlı e-posta verilerinden yararlanmasına olanak tanıyor.

WordPress’in varsayılan PHP posta işlevini SMTP postalarıyla değiştirmek üzere tasarlanan Post SMTP eklentisi, kritik güvenlik bilgilerini yanlışlıkla açığa çıkaran bir e-posta günlüğü özelliği içerir.

1 Kasım 2025’ten bu yana saldırganlar bu güvenlik açığını aktif olarak hedef aldı ve 4.500’den fazla yararlanma girişimi güvenlik sistemleri tarafından engellendi.

Bu eklentinin yüz binlerce WordPress kurulumunda yaygın kullanımı, web sitelerine yetkisiz erişim isteyen siber suçlular için önemli bir saldırı yüzeyi oluşturdu.

Wordfence araştırmacıları, güvenlik açığını, 11 Ekim 2025’te, kullanıma sunulmasından yalnızca bir gün sonra Bug Bounty Programı aracılığıyla tespit etti.

Güvenlik araştırmacısı Netranger, kusuru keşfedip sorumlu bir şekilde bildirdi ve kritik bulgu için 7.800 dolar ödül kazandı.

WP Experts geliştirme ekibi, 3.6.0’a kadar olan tüm sürümleri etkileyen güvenlik açığını gidermek için 29 Ekim 2025’te 3.6.1 yama sürümünü yayınlayarak açıklamaya hızlı bir şekilde yanıt verdi.

Güvenlik açığı 9,8 CVSS puanına sahiptir ve bu da onu kritik önem kategorisine yerleştirir. Site yöneticileri, kurulumlarını devam eden istismar girişimlerinden korumak için derhal sürüm 3.6.1’e güncellemelidir.

Wordfence Premium kullanıcıları 15 Ekim 2025’te güvenlik duvarı koruması alırken, ücretsiz sürüm kullanıcıları da 14 Kasım 2025’e kadar aynı korumaları alacak.

Teknik Sömürü Mekanizması

Güvenlik açığı, __construct işlevinde yetenek denetimleri gerçekleştirmeden günlüğe kaydedilen e-posta iletilerini görüntüleyen PostmanEmailLogs sınıfı yapıcısında bulunuyor.

Saldırganlar, eklentinin arayüzü aracılığıyla rastgele e-posta günlüklerine erişmek için URL parametrelerini değiştirerek bu zayıflıktan yararlanabilirler.

Güvenlik Açığı Ayrıntıları: –

Güvenlik açığından etkilenen kod, sayfa, görünüm ve log_id dahil olmak üzere belirli parametrelere sahip GET isteklerini kabul ederek, yetkisiz kullanıcıların depolanan e-posta içeriğini doğrudan veritabanından almasına olanak tanır.

public function __construct() {
    global $wpdb;
    $this->db = $wpdb;
    $this->logger = new PostmanLogger( get_class( $this ) );

    //Render Message body in iframe
    if(
        isset( $_GET['page'] ) && $_GET['page'] == 'postman_email_log'
        &&
        isset( $_GET['view'] ) && $_GET['view'] == 'log'
        &&
        isset( $_GET['log_id'] ) && !empty( $_GET['log_id'] )
    ) {
        $id = sanitize_text_field( $_GET['log_id'] );
        $email_query_log = new PostmanEmailQueryLog();
        $log = $email_query_log->get_log( $id, '' );
        echo ( isset ( $header ) && strpos( $header, "text/html" ) );
        die;
    }
}

Bu istismar süreci, saldırganların yönetici hesapları için şifre sıfırlama isteklerini tetiklemesini ve ardından korumasız arayüz üzerinden şifre sıfırlama bağlantıları içeren günlüğe kaydedilen sıfırlama e-postalarına erişmesini içerir.

Bu iki adımlı saldırı vektörü, sitenin tamamen ele geçirilmesine olanak tanıyarak kötü niyetli aktörlere arka kapıları yükleme, içeriği değiştirme ve kullanıcıları kötü amaçlı hedeflere yönlendirme konusunda tam yönetim ayrıcalıkları verir.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.