概要
WordPressのPost SMTPプラグインに重大な脆弱性が発見され、世界中で40万以上のサイトが危険に晒されています。この脆弱性(CVE-2025-11833、CVSSスコア9.8)は、認証されていない攻撃者が機密性の高いメールログにアクセスし、脆弱なWordPressサイトでアカウント乗っ取り攻撃を実行することを可能にします。2025年11月1日以降、すでに4,500件以上の悪用試行が確認されており、脅威が活発化していることを示しています。
脆弱性の詳細
この脆弱性は、2025年10月11日にセキュリティ研究者によってWordfenceのバグバウンティプログラムを通じて報告されました。Post SMTPバージョン3.6.0以前のプラグインに存在する認証の欠陥が原因です。具体的には、プラグインのPostmanEmailLogsクラスコンストラクタにおいて、ログに記録されたメールメッセージを表示する前にユーザー権限を確認する機能が欠如しています。これにより、適切な認証なしに、誰でもインターネット経由でメールログにアクセスできる状態になっています。
攻撃の手口
攻撃者は、この脆弱性を悪用して管理者アカウントのパスワードリセットをトリガーし、メールログからリセットメールを傍受します。その後、リセットリンクを使用してアカウントを完全に侵害することが可能です。一度管理者権限を奪取されると、攻撃者はサイトコンテンツの改ざん、悪意のあるコードの注入、さらには永続的なアクセスを可能にするバックドアの設置など、あらゆる操作が可能になります。
対策と推奨事項
Wordfenceのテレメトリーによると、攻撃者は2025年11月1日にはこの脆弱性を標的にし始めており、初期の数日間で4,500件以上の悪用試行がブロックされました。Wordfence Premium、Care、Responseのユーザーは、脆弱性が検証された数日後の2025年10月15日にファイアウォールルールを通じて保護を受けました。無料のWordfenceユーザーは、2025年11月14日に同様の保護を受ける予定ですが、これは有料セキュリティソリューションを持たないサイトにとって30日間の遅延を意味します。
ベンダーは、認証バイパスに対処する完全にパッチが適用されたバージョン、Post SMTP 3.6.1を2025年10月29日にリリースしました。この脆弱性を発見した研究者「netranger」には、Wordfenceのバグバウンティプログラムを通じて7,800ドルの報奨金が支払われました。
- WordPressサイト管理者は、直ちにPost SMTPバージョン3.6.1以降にアップデートしてください。
- この脆弱性の重大性と、すでに確認されている活発な悪用を考慮すると、アップデートは最優先事項です。
- 古いバージョンのプラグインを実行しているサイトは、引き続き脅威アクターの標的となる可能性があります。
- サイト所有者は、自身のインストール状況を確認し、パッチを適用し、この情報をWordPressコミュニティの他のメンバーと共有して、エコシステム全体の保護を確保することを強く推奨します。