2025年7月23日、WordPress向けメール配信プラグイン「Post SMTP」に、ログイン済みの低権限ユーザーによるアカウント乗っ取りが可能となる脆弱性(CVE-2025-24000)が存在することが、Patchstackにより公表されました。影響を受けるバージョンは3.2.0以前で、全世界で40万件以上のインストールが確認されています。
目次
影響を受けるバージョン
3.2.0およびそれ以前
修正バージョン
3.3.0以降
問題の概要:ログイン済みなら誰でもREST APIにアクセス可能
Post SMTPは、WordPressのメール送信機能を拡張する人気プラグインで、SMTP設定やOAuth認証、ログ管理機能を提供しています。しかし、バージョン3.2.0以前ではREST APIのエンドポイントがログイン済みであることだけを条件に許可されていたため、本来なら管理者のみが利用すべき機能に、購読者(Subscriber)などの低権限ユーザーでもアクセスできる状態となっていました。
許可チェックに問題のある関数
脆弱性の根本は、REST API用の get_logs_permission() 関数の実装にあります。この関数は is_user_logged_in() でログイン済みか否かしか判定しておらず、管理者権限の有無は一切確認していませんでした。
参照
https://patchstack.com/articles/account-takeover-vulnerability-affecting-over-400k-installations-patched-in-post-smtp-plugin/


の報奨-200x200.png)





