Kontakt

Sicherheitslücke im WordPress-Plugin Post SMTP

Lass dir den Artikel direkt mit KI leicht verständlich zusammenfassen:

ChatGPT
Perplexity
Claude
Kontakt aufnehmen
Sicherheitslücke SMTP Wordpress
Inhaltsverzeichnis

Sicherheitslücke im WordPress-Plugin Post SMTP

Das WordPress Plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App kommt auf ungefähre 400.000+ Installationen. Doch alle Webseiten, die das Plugin im Einsatz haben sind gerade potentiell gefährdet. Durch die Schwachstelle CVE-2025-11833 ist es Angreifern möglich die Webseite komplett zu übernehmen. Nach der Veröffentlichung der Sicherheitslücke, laufen seit Samstag (01.11.2025) die Angriffe auf solche Seiten laut Wordfence auf Hochtouren.

Entdeckt wurde die Sicherheitslücke von Carl Pearson aka netranger im Rahmen einer Bug-Bounty-Hunt von Wordfence. Bereits einen Tag nach Veröffentlichung wurde die Sicherheitslücke geschlossen und netranger bekam ein Kopfgeld von 7.800 $.

Wenn Sie dieses Plugin benutzen, wäre spätestens jetzt der richtige Zeitpunkt um zu handeln.

Details zur Schwachstelle

Die als CVE-2025-11833 geführte Schwachstelle wurde mit einem CVSS-Score von 9.8 als kritisch eingestuft [1] [2]. Sie beruht auf einer fehlenden Berechtigungsprüfung (Capability Check) in einer Funktion des Plugins, die es einem nicht angemeldeten Angreifer erlaubt, die gespeicherten E-Mail-Protokolle (Logs) einzusehen [2].

Das Hauptproblem liegt darin, dass diese Protokolle auch sensible Informationen wie Passwort-Reset-E-Mails enthalten können. Ein Angreifer kann den Prozess zur Passwortwiederherstellung für einen beliebigen Benutzer, einschließlich des Administrators, auslösen und anschließend den in den Logs gespeicherten Reset-Link oder das temporäre Passwort abgreifen. Mit diesem Schlüssel kann der Angreifer das Passwort ändern und sich beim Konto anmelden, was zur vollständigen Übernahme der Website führt [2].

Technische Analyse

Das WordPress‑Plugin Post SMTP ersetzt die eingebaute PHP‑Mail‑Funktion durch einen SMTP‑Mailer und bietet zusätzliche Features wie die Protokollierung von E‑Mails. Beim Blick in den Code fällt auf, dass die Anzeige der protokollierten E‑Mails über den PostmanEmailLogs‑Konstruktor erfolgt und dabei fehlen Prüfungen der Benutzerrechte (capability checks). 

public function __construct() {
 
    global $wpdb;
 
    $this->db = $wpdb;
    $this->logger = new PostmanLogger( get_class( $this ) );
 
    //Render Message body in iframe
    if(
        isset( $_GET['page'] ) && $_GET['page'] == 'postman_email_log'
        &&
        isset( $_GET['view'] ) && $_GET['view'] == 'log'
        &&
        isset( $_GET['log_id'] ) && !empty( $_GET['log_id'] )
    ) {
 
        // Print
        if( isset( $_GET['print'] ) && $_GET['print'] == 1  ) {
 
            echo "<script>window.print();</script>";
 
        }
 
        $id = sanitize_text_field( $_GET['log_id'] );
        $email_query_log = new PostmanEmailQueryLog();
        $log = $email_query_log->get_log( $id, '' );
        $header = $log['original_headers'];
        $msg = $log['original_message'];
        $msg = $this->purify_html( $msg );
        echo ( isset ( $header ) && strpos( $header, "text/html" ) ) ? $msg : '' . $msg . '' ;
 
        die;
 
    }

Das bedeutet:

  • Es gibt keine Absicherung, wer Log‑Einträge ansehen darf.
  • Dadurch können auch nicht authentifizierte Angreifer beliebige geloggte E‑Mails einsehen, einschließlich Passwort‑Zurücksetz‑Mails.
  • Ein Angreifer könnte gezielt eine Passwort‑Zurücksetzung für einen Administrator auslösen, die entsprechende Mail aus dem Log abrufen und so den Reset‑Link/Schlüssel erhalten.
  • Mit diesem Zugang kann der Angreifer das Administrator‑Passwort zurücksetzen und sich einloggen.

Ist ein Angreifer einmal als Administrator eingeloggt, kann er auf der Seite praktisch alles tun: Plugins und Themes hochladen (z. B. bösartige ZIPs mit Backdoors), Inhalte verändern oder Benutzer umleiten.

Also die vollständige Kompromittierung der Seite.

Handlungsempfehlung für Website-Betreiber

Aufgrund der beobachteten Angriffe und der kritischen Natur der Lücke wird allen Betreibern von WordPress-Websites, die das Post SMTP Plugin verwenden, dringend empfohlen, sofort auf die Version 3.6.1 oder höher zu aktualisieren.

InformationDetails
PluginPost SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App
Betroffene Versionen<= 3.6.0
Gepatchte Version3.6.1
CVE-IDCVE-2025-11833
CVSS-Score9.8 (Kritisch)
AuswirkungKontoübernahme (Account Takeover) durch unauthentifizierte Angreifer
Anzahl Installationen> 400.000

Referenzen

[1] https://www.wiz.io/vulnerability-database/cve/cve-2025-11833
[2] 400,000 WordPress Sites Affected by Account Takeover Vulnerability in Post SMTP WordPress Plugin

Bild von Benjamin
Benjamin
Benjamin Mylius ist nicht nur ein SEO-Experte und Programmierer; er ist der Architekt, der Ihre KMU-Webseite in eine digitale Erfolgsgeschichte verwandelt. Mit fast 13 Jahren Erfahrung und über 1200 betreuten Kunden weiß er genau, wie man komplexe digitale Herausforderungen in klare, messbare Ergebnisse umwandelt. Von der Steigerung Ihrer Sichtbarkeit bis zur Absicherung Ihrer Systeme – Benjamin Mylius navigiert Ihr Unternehmen sicher durch die digitale Galaxis. Er spricht Ihre Sprache, nicht Fachchinesisch, und liefert Lösungen, die wirklich zählen.
Menü
Content Marketing
Digitale Beratung
SEO
Wartung & Support
Webseiten Check
Webseite erstellen
Kontakt
Über uns
Referenzen
Wissensbereich
Datenschutz
Impressum