Pelaku ancaman secara aktif mengeksploitasi kerentanan kritis pada plugin Post SMTP yang diinstal di lebih dari 400.000 situs WordPress, untuk mengambil kendali penuh dengan membajak akun administrator.
Post SMTP adalah solusi pengiriman email populer yang dipasarkan sebagai pengganti fungsi default ‘wp_mail()’ yang kaya fitur dan lebih andal.
Pada 11 Oktober, perusahaan keamanan WordPress Wordfence menerima laporan dari peneliti ‘netranger’ tentang masalah pengungkapan log email yang dapat dimanfaatkan untuk serangan pengambilalihan akun.
Masalah ini, yang dilacak sebagai CVE-2025-11833, menerima skor tingkat keparahan kritis sebesar 9,8 dan memengaruhi semua versi Pasca SMTP mulai dari versi 3.6.0 dan yang lebih lama.
Kerentanan ini berasal dari kurangnya pemeriksaan otorisasi pada fungsi ‘_construct’ pada alur ‘PostmanEmailLogs’ plugin.
Konstruktor tersebut secara langsung merender konten email yang dicatat ketika diminta tanpa melakukan pemeriksaan kemampuan, sehingga memungkinkan penyerang yang tidak diautentikasi membaca email yang dicatat secara sewenang-wenang.
Sumber: Wordfence
Paparan tersebut mencakup pesan pengaturan ulang kata sandi dengan tautan yang memungkinkan perubahan kata sandi administrator tanpa memerlukan pemegang akun yang sah, yang berpotensi mengarah pada pengambilalihan akun dan penyusupan situs sepenuhnya.
Wordfence memvalidasi eksploitasi peneliti pada tanggal 15 Oktober dan mengungkapkan sepenuhnya masalah tersebut kepada vendornya, Saad Iqbal, pada hari yang sama.
Patch tiba pada tanggal 29 Oktober, dengan Posting SMTP versi 3.6.1. Berdasarkan Data WordPress.orgsekitar setengah dari pengguna plugin telah mengunduhnya sejak patch dirilis, sehingga menyebabkan setidaknya 210.000 situs rentan terhadap serangan pengambilalihan admin.
Menurut Wordfence, peretas mulai mengeksploitasi CVE-2025-11833 pada 1 November. Sejak itu, perusahaan keamanan telah memblokir lebih dari 4.500 upaya eksploitasi terhadap pelanggannya.
Mengingat status eksploitasi aktif, pemilik website yang menggunakan Post SMTP disarankan untuk segera pindah ke versi 3.6.1 atau menonaktifkan plugin.
Pada bulan Juli, PatchStack mengungkapkan bahwa Post SMTP rentan terhadap kelemahan yang memungkinkan peretas mengakses log email yang berisi konten pesan lengkap, bahkan dari tingkat pelanggan.
Cacat itu, dilacak sebagai CVE-2025-24000memiliki dampak yang sama seperti CVE-2025-11833, memungkinkan pengguna yang tidak sah memicu pengaturan ulang kata sandi, mencegat pesan, dan mengambil kendali akun administrator.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
