WordPressの「Post SMTP」プラグインに深刻なアカウント乗っ取りの脆弱性、40万サイト以上に影響(CVE-2025-24000)

セキュリティニュース

投稿日時: 更新日時:

WordPressの「Post SMTP」プラグインに深刻なアカウント乗っ取りの脆弱性、40万サイト以上に影響(CVE-2025-24000)

2025年7月23日、WordPress向けメール配信プラグイン「Post SMTP」に、ログイン済みの低権限ユーザーによるアカウント乗っ取りが可能となる脆弱性(CVE-2025-24000)が存在することが、Patchstackにより公表されました。影響を受けるバージョンは3.2.0以前で、全世界で40万件以上のインストールが確認されています

影響を受けるバージョン

3.2.0およびそれ以前

修正バージョン

3.3.0以降

問題の概要:ログイン済みなら誰でもREST APIにアクセス可能

Post SMTPは、WordPressのメール送信機能を拡張する人気プラグインで、SMTP設定やOAuth認証、ログ管理機能を提供しています。しかし、バージョン3.2.0以前ではREST APIのエンドポイントがログイン済みであることだけを条件に許可されていたため、本来なら管理者のみが利用すべき機能に、購読者(Subscriber)などの低権限ユーザーでもアクセスできる状態となっていました。

許可チェックに問題のある関数

脆弱性の根本は、REST API用の get_logs_permission() 関数の実装にあります。この関数は is_user_logged_in() でログイン済みか否かしか判定しておらず、管理者権限の有無は一切確認していませんでした

public function get_logs_permission() {
  return is_user_logged_in();
}

このため、以下のような機能が誰でも利用可能となっていました。

  • メールログの閲覧(本文含む)

  • 過去に送信されたメールの再送

  • メール送信数の統計表示

攻撃シナリオ:パスワードリセットメールの盗聴 → 管理者アカウント乗っ取り

最大のリスクは、パスワードリセットメールを傍受できることです。サイト上のどのユーザーのリセットメールであっても本文の取得が可能であり、リンクを使って管理者アカウントへの不正ログインが成立するという完全なサイト乗っ取りが可能になります。

このような脆弱性は、特権昇格(Privilege Escalation)型の攻撃であり、極めて危険です。

 

参照

https://patchstack.com/articles/account-takeover-vulnerability-affecting-over-400k-installations-patched-in-post-smtp-plugin/