Das WordPress-Plug-in Post SMTP kommt auf mehr als 400.000 aktive Installationen. IT-Forscher haben darin eine Sicherheitsl\u00fccke entdeckt, die nicht angemeldeten Angreifern die \u00dcbernahme von Konten und in der Folge der kompletten WordPress-Instanz erm\u00f6glichen. Es laufen seit dem Wochenende bereits Angriffe auf die Schwachstelle. Ein aktualisiertes Plug-in steht bereit.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Das meldet das auf WordPress spezialisierte IT-Sicherheitsunternehmen WordFence in einem aktuellen Blog-Beitrag<\/a>. Die Schwachstelle im Plug-in Post SMTP erlaubt nicht authentifizierten Angreifern, E-Mail-Logs einzusehen, einschlie\u00dflich Passwort-Reset-E-Mails. Dadurch k\u00f6nnen sie Passw\u00f6rter beliebiger Nutzer \u00e4ndern, einschlie\u00dflich der von Administratoren. Damit k\u00f6nnen b\u00f6sartige Akteure die Konten und in der Folge die komplette WordPress-Website \u00fcbernehmen (CVE-2025-11833, CVSS 9.8<\/strong>, Risiko „kritisch<\/strong>„).<\/p>\n Schnell Updates installieren<\/p>\n Die Firewall-Systeme von Wordfence haben vom 1. November bis zum Montag dieser Woche bereits mehr als 4500 Angriffe auf die Schwachstelle abgewehrt, erkl\u00e4rt das Unternehmen. IT-Verantwortliche sollten daher sicherstellen, so schnell wie m\u00f6glich auf eine fehlerkorrigierte Fassung des Plug-ins zu aktualisieren. Seit dem 29. Oktober steht die Version 3.6.1 von Post SMTP bereit, die die sicherheitsrelevanten Fehler in den verwendbaren Fassungen 3.6.0 und \u00e4lter korrigiert.<\/p>\n Post SMTP ist ein Plug-in, das vom Anbieter bereits im Namen als „komplette SMTP-L\u00f6sung mit Logs, Alarmen, Backup, SMTP und mobiler App“ beschrieben wird. Es soll helfen, wenn Admins auf ein Problem mit dem E-Mail-Versand durch WordPress sto\u00dfen. Das ist insbesondere in einigen Hosting-Umgebungen der Fall, die keinen Mailversand \u00fcber PHP-E-Mail erlauben. Laut Eintrag im WordPress-Verzeichnis<\/a> kommt es auf mehr als 400.000 aktive Installationen.<\/p>\n WordPress-Plug-ins leiden \u00f6fter unter schwerwiegenden Sicherheitsl\u00fccken, die die Kompromittierung von Konten oder gar Instanzen erlauben. Ende August hat es etwa das Plug-in Dokan Pro getroffen<\/a>. Dabei handelt es sich um ein Marktplatzsystem, bei dem sich Nutzerinnen und Nutzer als Verk\u00e4ufer mit einem eigenen Marktplatz-Shop registrieren k\u00f6nnen.<\/p>\n