WordPress-sites aangevallen via kritiek beveiligingslek in plug-in Post SMTP

[Captain Kirk]

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Post SMTP. Een beveiligingsupdate is sinds een aantal dagen beschikbaar, maar zo'n tweehonderdduizend websites hebben die niet geïnstalleerd. Post SMTP is een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Meer dan 400.000 websites op internet maken er gebruik van.

De kwetsbaarheid in de plug-in (CVE-2025-11833) zorgt ervoor dat een ongeauthenticeerde aanvaller op afstand elke gelogde e-mail kan lezen, waaronder e-mails met een link voor het resetten van wachtwoorden. Een aanvaller kan zo eerst een wachtwoordreset voor de administrator van de website aanvragen en vervolgens de verstuurde e-mail in de logbestanden lezen. Met de resetlink kan de aanvaller vervolgens een ander wachtwoord voor het admin-account instellen en zo de website overnemen.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De ontwikkelaars van de plug-in kwamen op 29 oktober met een beveiligingsupdate. Volgens cybersecuritybedrijf Wordfence maken aanvallers sinds 1 november misbruik van het beveiligingslek. Cijfers van WordPress.org laten zien dat zo'n tweehonderdduizend websites de update nog niet hebben geïnstalleerd.

 

bron: https://www.security.nl