В мире веб-разработки и администрирования WordPress очередной тревожный сигнал: более 200 000 сайтов продолжают использовать устаревшую и небезопасную версию плагина Post SMTP, несмотря на наличие критической уязвимости, которая позволяет злоумышленникам захватить контроль над учетными записями администраторов.
Что такое Post SMTP и почему это важно?
Post SMTP — один из самых популярных плагинов для настройки и отправки электронной почты на сайтах WordPress. Он используется более чем на 400 000 ресурсов по всему миру. Этот плагин считается более надёжной и функциональной альтернативой стандартной функции wp_mail(), и часто применяется для интеграции с внешними почтовыми сервисами, а также для логирования отправленных писем.
Однако популярность — это не всегда гарантия безопасности.
Уязвимость CVE-2025-24000: как это работает
23 мая специалисты по кибербезопасности направили в Patchstack сообщение о критической уязвимости, которая получила идентификатор CVE-2025-24000 и высокий рейтинг опасности — 8.8 по шкале CVSS.
Проблема заключалась в неправильной проверке доступа в REST API плагина: система проверяла только факт входа пользователя в систему, но игнорировала его права доступа. Это означало, что даже пользователи с минимальными правами (например, подписчики) могли получить доступ к чувствительной информации — в частности, к журналам отправленных писем, в которых содержится полный текст email-сообщений.
Хуже всего то, что через эти журналы можно было перехватить письмо для сброса пароля администратора, инициировать его восстановление и, таким образом, полностью завладеть управлением над сайтом.
Как быстро отреагировали разработчики
К чести разработчиков Post SMTP, реакция была достаточно оперативной. Уже 26 мая они предоставили обновлённую версию плагина для рассмотрения. В исправлении были внедрены дополнительные проверки прав доступа в метод get_logs_permission, чтобы исключить возможность получения конфиденциальной информации неавторизованными пользователями.
Новая, защищённая версия Post SMTP 3.3.0 вышла 11 июня.
Почему проблема всё ещё актуальна
Несмотря на выпуск исправления и предупреждения от специалистов по безопасности, проблема остаётся весьма актуальной. По данным WordPress, только 48,5% пользователей плагина обновились до безопасной версии. Это означает, что более 200 000 сайтов всё ещё работают на уязвимых версиях.
Более того, около половины из них используют версии из устаревшей ветки 2.x, в которой присутствует не только описанная выше уязвимость, но и ряд других опасных багов.
Таким образом, создаются идеальные условия для масштабной хакерской атаки, где один уязвимый плагин может привести к полному компрометированию сайта.
Что делать владельцам сайтов WordPress
Если вы используете плагин Post SMTP — проверьте его версию прямо сейчас. Если она ниже 3.3.0 — незамедлительно обновитесь до актуальной версии.
Кроме того, рекомендуется:
-
Проверить логи отправленных писем на наличие подозрительных действий;
-
Убедиться, что у подписчиков и других пользователей с низкими привилегиями нет доступа к функциям администрирования;
-
Использовать двухфакторную аутентификацию для всех учетных записей с правами администратора;
-
Периодически просматривать список установленных плагинов и удалять устаревшие или неиспользуемые.
Заключение
Эта ситуация — ещё одно напоминание о том, насколько важно своевременно обновлять программное обеспечение, особенно на популярных платформах вроде WordPress. Один уязвимый компонент может стать входной точкой для атак, последствия которых могут стоить дорого: от потери данных до полной утраты контроля над сайтом.
Обновляйтесь, проверяйте права доступа и будьте бдительны — только так можно защитить себя и своих пользователей.