WordPressの「Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App」に、未認証の第三者がメールログを閲覧できる深刻な脆弱性(CVE-2025-11833)が見つかりました。これにより、パスワードリセットメールのリンクが漏えいし、管理者を含む任意ユーザーのパスワードを変更され、サイトを乗っ取られる恐れがあります。影響はアクティブインストール40万超。深刻度はCVSS 9.8(Critical)で、修正版は3.6.1です。
影響範囲
この脆弱性の深刻度はCVSS 9.8で、影響を受けるのは3.6.0以下のすべてのバージョンです。3.6.1で修正が提供されています。該当プラグインのスラッグは「post-smtp」です。
既に観測された攻撃
2025年11月1日時点で本脆弱性を狙った攻撃が開始されており攻撃キャンペーンの拡大が見込まれるため、更新は猶予なく行うべきです。
タイムライン
-
2025年10月11日:脆弱性がバグバウンティプログラムに報告
-
2025年10月16日:ベンダ確認・修正着手
-
2025年10月29日:修正版3.6.1リリース
原因
クラスPostmanEmailLogsのコンストラクタ(__construct)に権限確認(capability check)が実装されていなかったことが原因です。特定のクエリパラメータ(例:page=postman_email_log&view=log&log_id=...)が指定されると、認可なしにログ表示処理が実行され、任意の送信メール本文やヘッダが出力されてしまいます。これには「パスワードリセットメール」も含まれ、リンクを取得した攻撃者は対象ユーザーのパスワードを任意に再設定できます。
出典
400,000 WordPress Sites Affected by Account Takeover Vulnerability in Post SMTP WordPress Plugin
関連記事
DeepSeekに利用者の情報を中国政府に直接送信する機能が存在
-200x200.png)
WordPressの「Post SMTP」プラグインに深刻なアカウント乗っ取りの脆弱性、40万サイト以上に影響(CVE-2025-24000)
Oracle、E-Business Suiteの未認証アクセスの脆弱性(CVE-2025-61884)に緊急対処を呼びかけ
HTTPプロキシ Squidに資格情報漏えいの可能性があるクリティカルな脆弱性(CVE-2025-62168)
Proofpointの設定が悪用され何百万通のフィッシングメールが送信される
7-Zipの脆弱性 CVE-2025-11001 にPoC公開-Windows向けシンボリックリンク処理の不備、v25.00で修正
WordPressのForminator プラグインに脆弱性-60万以上のWordPressサイトへ影響(CVE-2025-6463)
WordPress用プラグイン「Forminator」で複数の脆弱性が発生
Windows Cloud Files Mini Filter Driver の脆弱性を悪用するPoCエクスプロイトが公開(CVE-2020-17136,CVE-2025-55680)
