Root в один клик: баг в популярном плагине превращает подписчиков в админов
NewsMakerКак всего несколько строк кода поставили под удар полмиллиона веб-сайтов.
Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Post SMTP , позволяющей злоумышленникам получить полный контроль над администраторской учётной записью. Уязвимость получила идентификатор CVE-2025-24000 и затрагивает все версии плагина до 3.2.0 включительно. На момент публикации исправление установлено менее чем на половине всех систем, использующих этот компонент.
Post SMTP — это инструмент для надёжной отправки электронной почты с сайтов на WordPress, замещающий встроенную функцию wp_mail(). Свыше 400 тысяч установок делают его одним из самых популярных решений в своей категории. Однако в мае 2025 года специалисты PatchStack получили отчёт о том, что в REST API плагина реализована неверная логика контроля доступа. Вместо проверки прав пользователя система ограничивалась фактом авторизации, что позволило даже посетителям с низкими привилегиями, например подписчикам, обращаться к защищённым данным.
В частности, подписчик мог инициировать сброс пароля администратора и перехватить соответствующее письмо через журналы электронной почты, доступ к которым не был ограничен. Тем самым создавалась лазейка для захвата всей административной панели сайта без необходимости эксплуатации сторонних уязвимостей или физического доступа к серверу.
Информация о проблеме была передана разработчику Saad Iqbal 23 мая. Уже через три дня он предоставил обновлённую реализацию функции get_logs_permission, где реализована полноценная проверка пользовательских прав перед обращением к API. Версия с исправлением — 3.3.0 — была опубликована 11 июня.
Несмотря на наличие обновления, статистика WordPress.org показывает тревожную ситуацию: более 51% сайтов до сих пор используют уязвимые версии . Особенно опасна ситуация у пользователей ветки 2.x — по оценке, около 96 800 сайтов продолжают работать на этих версиях, которые содержат не только CVE-2025-24000, но и другие известные дыры безопасности.
Проблема подчёркивает системную уязвимость экосистемы WordPress, где даже важные обновления безопасности устанавливаются далеко не сразу. Учитывая лёгкость эксплуатации и широкое распространение плагина, можно ожидать, что атаки на незащищённые ресурсы продолжатся и будут всё более массовыми. Устранение угрозы требует немедленного обновления до версии 3.3.0 или выше.
Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Post SMTP , позволяющей злоумышленникам получить полный контроль над администраторской учётной записью. Уязвимость получила идентификатор CVE-2025-24000 и затрагивает все версии плагина до 3.2.0 включительно. На момент публикации исправление установлено менее чем на половине всех систем, использующих этот компонент.
Post SMTP — это инструмент для надёжной отправки электронной почты с сайтов на WordPress, замещающий встроенную функцию wp_mail(). Свыше 400 тысяч установок делают его одним из самых популярных решений в своей категории. Однако в мае 2025 года специалисты PatchStack получили отчёт о том, что в REST API плагина реализована неверная логика контроля доступа. Вместо проверки прав пользователя система ограничивалась фактом авторизации, что позволило даже посетителям с низкими привилегиями, например подписчикам, обращаться к защищённым данным.
В частности, подписчик мог инициировать сброс пароля администратора и перехватить соответствующее письмо через журналы электронной почты, доступ к которым не был ограничен. Тем самым создавалась лазейка для захвата всей административной панели сайта без необходимости эксплуатации сторонних уязвимостей или физического доступа к серверу.
Информация о проблеме была передана разработчику Saad Iqbal 23 мая. Уже через три дня он предоставил обновлённую реализацию функции get_logs_permission, где реализована полноценная проверка пользовательских прав перед обращением к API. Версия с исправлением — 3.3.0 — была опубликована 11 июня.
Несмотря на наличие обновления, статистика WordPress.org показывает тревожную ситуацию: более 51% сайтов до сих пор используют уязвимые версии . Особенно опасна ситуация у пользователей ветки 2.x — по оценке, около 96 800 сайтов продолжают работать на этих версиях, которые содержат не только CVE-2025-24000, но и другие известные дыры безопасности.
Проблема подчёркивает системную уязвимость экосистемы WordPress, где даже важные обновления безопасности устанавливаются далеко не сразу. Учитывая лёгкость эксплуатации и широкое распространение плагина, можно ожидать, что атаки на незащищённые ресурсы продолжатся и будут всё более массовыми. Устранение угрозы требует немедленного обновления до версии 3.3.0 или выше.