Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакерите го злоупотребуваат додатокот Post SMTP на WordPress за да ги киднапираат администраторските сметки

Објавено: 05.11.2025

Заканувачки актери активно ја искористуваат критичната ранливост во додатокот Post SMTP, инсталиран на повеќе од 400.000 WordPress страници, за целосно преземање контрола преку кражба на администраторски сметки.

Post SMTP е популарно решение за испорака на е-пошта, кое се промовира како побогата и понадежна замена за стандардната функција „wp_mail()“.

На 11 октомври, безбедносната компанија за WordPress — Wordfence, добила извештај од истражувачот „netranger“ за проблем со откривање на е-пошта логови, кој може да се искористи за преземање на сметки.
Проблемот е евидентиран како CVE-2025-11833, со критично ниво на сериозност 9.8, и ги погодува сите верзии на Post SMTP до 3.6.0 и постари.

Ранливоста произлегува од недостаток на проверки за овластување во функцијата „_construct“ во процесот „PostmanEmailLogs“ на додатокот.

Овој конструктор директно ги прикажува зачуваните содржини на е-поштите кога ќе бидат побарани, без да изврши проверки на привилегии, со што им овозможува на неавтентицирани напаѓачи да читаат произволни зачувани пораки.

Ранливиот конструктор на класата

Откривањето на ранливоста опфаќа пораки за ресетирање на лозинки со линкови кои овозможуваат промена на администраторската лозинка без потреба од легитимен сопственик на сметката, што потенцијално може да доведе до преземање на сметката и целосен компромис на веб-страницата.

Wordfence го потврдил експлоитот на истражувачот на 15 октомври и истиот ден целосно го пријавил проблемот на издавачот, Saad Iqbal.

Закрпата била објавена на 29 октомври, во верзијата Post SMTP 3.6.1.
Според податоците од WordPress.org, околу половина од корисниците на додатокот ја презеле новата верзија по објавувањето на закрпата, оставајќи најмалку 210.000 страници ранливи на напади за преземање на администраторски сметки.

Според Wordfence, хакерите започнале да ја експлоатираат ранливоста CVE-2025-11833 на 1 ноември. Оттогаш, безбедносната фирма има блокирано повеќе од 4.500 обиди за експлоатација на своите клиенти.

Поради активното искористување на ранливоста, на сопствениците на веб-страници што го користат Post SMTP им се препорачува веднаш да преминат на верзијата 3.6.1 или целосно да го оневозможат додатокот.

Во јули, компанијата PatchStack откри дека Post SMTP има друга ранливост која им овозможува на хакерите да пристапат до логовите на е-поштите што содржат целосна содржина на пораките, дури и од ниво на обичен претплатник.

Оваа ранливост, означена како CVE-2025-24000, имала исти последици како CVE-2025-11833 — овозможувајќи на неовластени корисници да иницираат ресетирање на лозинки, да пресретнуваат пораки и да преземат контрола врз администраторски сметки.

Извори:

  • Bleeping Computer – „Hackers exploit WordPress plugin Post SMTP to hijack admin accountss“ Bleeping Computer