人気のあるメール配信用WordPressプラグインに、影響を受けたウェブサイトを完全に制御できる重大な脆弱性が存在することが判明しました。
影響を受けているプラグインは、Post SMTPで、40万以上のWordPressウェブサイトでメール送信に利用されています。
研究者は5月に、このプラグインに深刻なアクセス制御の不備があることを発見しました。これにより、購読者を含む任意の登録ユーザーが機密データにアクセスできるようになります。このセキュリティホールはCVE-2025-24000として追跡されています。
この脆弱性の公開を調整したWordPressのセキュリティ企業Patchstackによると、攻撃者はこの脆弱性を悪用することで、メール統計の閲覧、メールの再送信、メールログ(メール本文を含む)へのアクセスが可能になります。
これらのメールログには、管理者を含む任意のユーザーへのパスワードリセットメールが含まれている場合があり、攻撃者はこれを利用して対象アカウントのパスワードをリセットし、ウェブサイトを完全に乗っ取ることができます。
Post SMTPの開発者は、6月11日にバージョン3.3のリリースでこの脆弱性に対応しました。
WordPress.orgのPost SMTP統計ページのデータによると、40万以上のアクティブインストールのうち、バージョン3.3にアップデートされているのは半数未満であり、20万以上のウェブサイトが依然として攻撃に対して脆弱な可能性があります。
WordPressウェブサイトの管理者は、脅威アクターがしばしばプラグインやテーマの脆弱性を悪用してサイトをハッキングするため、プラグインを常に最新の状態に保つことが重要です。
広告。スクロールして続きをお読みください。