У світі веб-розробки та адміністрування WordPress знову пролунала тривога: понад 200 000 сайтів продовжують використовувати застарілу й небезпечну версію плагіна Post SMTP, незважаючи на наявність критичної вразливості, яка дозволяє зловмисникам отримати повний контроль над обліковими записами адміністраторів.
Що таке Post SMTP і чому це важливо?
Post SMTP — один із найпопулярніших плагінів для налаштування й надсилання електронної пошти на сайтах WordPress. Він встановлений більш ніж на 400 000 ресурсах по всьому світу. Плагін вважається надійнішою та функціональнішою альтернативою стандартній функції wp_mail() і часто використовується для інтеграції з зовнішніми поштовими сервісами, а також для ведення журналу надісланих листів.
Але популярність — не завжди синонім безпеки.
Вразливість CVE-2025-24000: як вона працює
23 травня фахівці з кібербезпеки повідомили про критичну вразливість, яка отримала ідентифікатор CVE-2025-24000 і високий рівень небезпеки — 8.8 за шкалою CVSS.
Проблема полягала в неправильній перевірці прав доступу в REST API плагіна: система перевіряла лише факт входу користувача в систему, але ігнорувала його рівень доступу. Це дозволяло навіть користувачам з мінімальними правами (наприклад, підписникам) отримати доступ до конфіденційної інформації — зокрема, до журналів надісланої пошти, що містять повний вміст листів.
Найгірше те, що через ці журнали зловмисник міг перехопити лист для скидання пароля адміністратора, ініціювати зміну пароля та повністю заволодіти сайтом.
Як швидко відреагували розробники
Варто відзначити, що розробники Post SMTP відреагували досить оперативно. Вже 26 травня вони представили оновлену версію плагіна для перевірки. В оновленні було впроваджено додаткову перевірку прав доступу в методі get_logs_permission, щоб виключити можливість отримання конфіденційних даних користувачами без відповідних дозволів.
Безпечна версія Post SMTP 3.3.0 вийшла 11 червня.
Чому проблема досі актуальна
Незважаючи на вихід оновлення та попередження від експертів, проблема залишається критичною. За статистикою WordPress, лише 48,5% користувачів плагіна оновились до безпечної версії. Це означає, що понад 200 000 сайтів усе ще працюють на вразливих версіях.
Більше того, близько половини з них використовують стару гілку 2.x, де присутня не лише згадана вразливість, але й низка інших серйозних проблем.
Таким чином, створюються ідеальні умови для масштабної хакерської атаки, де один єдиний плагін може стати точкою входу для повного компрометування ресурсу.
Що мають зробити власники сайтів WordPress
Якщо ви використовуєте плагін Post SMTP — негайно перевірте його версію. Якщо вона нижча за 3.3.0 — негайно оновіть плагін до останньої версії.
Також рекомендується:
-
Перевірити журнали надсилання листів на підозрілу активність;
-
Переконатися, що підписники та інші користувачі з низькими правами не мають доступу до функцій адміністрування;
-
Увімкнути двофакторну автентифікацію для всіх облікових записів із правами адміністратора;
-
Регулярно перевіряти встановлені плагіни й видаляти ті, що не використовуються або застаріли.
На завершення
Ця ситуація — ще одне нагадування про важливість регулярного оновлення плагінів та програмного забезпечення на сайтах. Один уразливий компонент може стати причиною серйозних наслідків: від витоку даних до повного захоплення сайту.
Оновлюйтеся, слідкуйте за безпекою та не відкладайте захист свого сайту на потім.