概要
WordPressの人気プラグイン「Post SMTP」に存在する深刻な脆弱性(CVE-2025-11833)が積極的に悪用されており、攻撃者が管理者アカウントを乗っ取る事態が発生しています。この脆弱性は、40万以上のWordPressサイトに影響を及ぼす可能性があり、特にバージョン3.6.0以前のすべてのPost SMTPプラグインが対象です。
脆弱性の詳細
この脆弱性は、プラグインの「PostmanEmailLogs」フロー内の「_construct」関数における認証チェックの欠如に起因します。これにより、認証されていない攻撃者でも、本来保護されるべきメールログの内容を任意に読み取ることが可能になります。
最も危険な点は、このメールログにパスワードリセットメッセージとそのリンクが含まれる場合があることです。攻撃者はこれらのリンクを悪用することで、正規の管理者アカウント所有者の介入なしにパスワードを変更し、結果としてサイトの完全な制御を奪うことができます。
発見からパッチ適用、そして悪用へ
- 2025年10月11日: セキュリティ企業Wordfenceが研究者「netranger」からメールログ開示の問題に関する報告を受領。
- 2025年10月15日: Wordfenceが脆弱性を検証し、ベンダーのSaad Iqbal氏に開示。
- 2025年10月29日: パッチが適用されたPost SMTPバージョン3.6.1がリリース。
しかし、WordPress.orgのデータによると、パッチリリース以降にプラグインをダウンロードしたユーザーは約半数に留まっており、少なくとも21万のサイトが依然として脆弱な状態にあります。
Wordfenceの報告によれば、2025年11月1日からCVE-2025-11833の悪用が開始されました。同社はこれまでに、顧客サイトで4,500件以上の攻撃試行をブロックしています。
推奨される対策
現在、この脆弱性が積極的に悪用されているため、Post SMTPプラグインを使用しているウェブサイト管理者は、直ちにバージョン3.6.1へアップデートするか、それが不可能な場合はプラグインを一時的に無効化することが強く推奨されます。
過去の類似脆弱性
Post SMTPプラグインには、2025年7月にも同様の脆弱性(CVE-2025-24000)がPatchStackによって報告されています。この脆弱性も、購読者レベルのユーザーがメールログにアクセスできるというもので、管理者アカウントの乗っ取りにつながる可能性がありました。