Selon BleepingComputer, des acteurs malveillants exploitent activement une vulnérabilité critique (CVE-2025-11833, score 9,8) dans le plugin WordPress Post SMTP (installé sur 400 000+ sites), permettant la lecture non authentifiée des journaux d’e-mails et la prise de contrôle de comptes administrateurs.

— Détails techniques et impact —

  • La faille provient de l’absence de contrôles d’autorisation dans le constructeur ‘_construct’ de la classe PostmanEmailLogs, qui rend directement le contenu des e-mails journalisés sans vérification de capacités.
  • Les journaux exposent notamment des messages de réinitialisation de mot de passe contenant des liens permettant de modifier le mot de passe d’un administrateur, conduisant à une compromission complète du site. 🚨

— Chronologie —

  • 11 octobre : Wordfence reçoit le rapport du chercheur « netranger » sur la divulgation des logs d’e-mails.
  • 15 octobre : Wordfence valide l’exploit et divulgue à l’éditeur (Saad Iqbal) le même jour.
  • 29 octobre : Correctif publié en version 3.6.1 de Post SMTP.
  • 1er novembre : début de l’exploitation active ; Wordfence indique avoir bloqué 4 500+ tentatives chez ses clients.

— Exposition —

  • D’après les données WordPress.org, environ la moitié des utilisateurs ont téléchargé la mise à jour depuis sa sortie, laissant au moins 210 000 sites vulnérables.
  • Le média rappelle qu’en juillet, une autre faille (CVE-2025-24000) exposait déjà les journaux d’e-mails (lecture possible même au niveau abonné) avec des conséquences similaires.

— Recommandations rapportées par l’article —

  • Étant donnée l’exploitation en cours, les propriétaires de sites utilisant Post SMTP sont invités à passer immédiatement à la version 3.6.1 ou à désactiver le plugin. 🧩

— IOCs et TTPs —

  • IOCs : non communiqués dans l’article.
  • TTPs :
    • Divulgation non authentifiée d’informations via l’accès aux journaux d’e-mails.
    • Interception de liens de réinitialisation de mot de passe.
    • Prise de contrôle de comptes administrateurs par réinitialisation.
    • Exploitation de masse observée depuis le 1er novembre.

Article de presse spécialisé visant à signaler une vulnérabilité critique activement exploitée et la disponibilité d’un correctif.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploit-wordpress-plugin-post-smtp-to-hijack-admin-accounts/