Hakerzy wykorzystują lukę w wtyczce Post SMTP dla WordPressa do przejmowania kont administratorów

Wprowadzenie do problemu / definicja luki

Na 4 listopada 2025 r. potwierdzono aktywne ataki na strony WordPress wykorzystujące krytyczną lukę w popularnej wtyczce Post SMTP (Post SMTP Mailer/Email Log), instalowanej na ok. 400 000 witryn. Błąd umożliwia nieautoryzowany odczyt dzienników e-maili, w tym linków do resetu hasła, co prowadzi do przejęcia kont administratorów. Problem został załatany w wersji 3.6.1.

W skrócie

• Na celowniku: strony z wtyczką Post SMTP poniżej 3.6.1.
• Wektor ataku: brak adekwatnej autoryzacji pozwala odczytać logi e-maili → atakujący wyłuskują linki resetu hasła → przejmują konta.
• Skala: setki tysięcy instalacji; ataki już trwają.
• Działania pilne: aktualizacja do ≥ 3.6.1, unieważnienie sesji, reset haseł i weryfikacja kont użytkowników.

Kontekst / historia / powiązania

Post SMTP od dawna był na radarze badaczy – w lipcu 2025 r. zgłoszono krytyczne problemy z kontrolą dostępu (≤ 3.2.0), które również pozwalały na przejęcie kont poprzez ekspozycję logów wiadomości. Kolejny, świeży błąd został ujawniony 31 października 2025 r. (m.in. jako CVE-2025-11833) i załatany w 3.6.1. Od początku listopada 2025 r. obserwujemy aktywne nadużycia.

Analiza techniczna / szczegóły luki

• Klasa problemu: Missing Authorization / Broken Access Control. Błędne sprawdzanie uprawnień (np. brak adekwatnego capability check w konstruktorze odpowiadającym za logi) pozwala niezalogowanym napastnikom odczytać dowolne wiadomości wysyłane przez wtyczkę.
• Skutki techniczne: dostęp do pełnych treści e-maili, w tym tokenów i URL-i resetu hasła. Atakujący otwierają link resetu, ustawiają nowe hasło dla ofiary (często konta admina) i przejmują całą witrynę.
• Wersje podatne / poprawka: podatne są wydania < 3.6.1; poprawka dostępna w 3.6.1. WPScan klasyfikuje błąd jako CVSS 9.8 (krytyczny).

Praktyczne konsekwencje / ryzyko

• Pełne przejęcie CMS: utworzenie konta admina, podmiana motywu/wtyczek, wstrzyknięcia SEO-spam lub malware.
• Eksfiltracja danych: logi poczty często zawierają PII, hashe lub treści transakcyjne.
• Dalsza eskalacja: osadzenie backdoorów, pivot do serwera pocztowego/API, kampanie phishingowe z legalnej domeny.
• Wysokie ryzyko prawne/marketingowe: RODO, naruszenie reputacji domeny (spam blacklists).
  Dowody aktywnych nadużyć i masowej skali potwierdzają bieżące raporty threat-intel.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast zaktualizuj Post SMTP do ≥ 3.6.1 lub tymczasowo wyłącz/usuń wtyczkę, jeżeli aktualizacja nie jest możliwa.
2. Wymuś reset haseł (admin, edytorzy, konta krytyczne) i unieważnij sesje (np. przez zmianę AUTH_KEY/SECURE_AUTH_KEY w wp-config.php).
3. Sprawdź logi Post SMTP i WordPressa: nietypowe resety hasła, logowania z nowych IP, tworzenie nieznanych kont admina; porównaj z dziennikiem poczty transakcyjnej.
4. Usuń/wyczyść logi e-maili zgromadzone przez wtyczkę; rozważ wyłączenie logowania wiadomości na stałe lub ograniczenie retencji.
5. Włącz 2FA dla wszystkich kont uprzywilejowanych i ogranicz dostęp do /wp-admin (IP allowlist, WAF, CAPTCHA).
6. Skan bezpieczeństwa + IOC: sprawdź pliki pod kątem backdoorów, crontab, zadania wp_cron, nietypowe mu-plugins.
7. Twarde reguły WAF: aktualizuj reguły w Wordfence / innym WAF; narzędzia te już sygnalizują i blokują znane wzorce ataków związanych z tą luką.
8. Audyt innych historycznych luk Post SMTP (np. stare XSS/authorization bypass) i upewnij się, iż środowisko nie pozostało z artefaktami po wcześniejszych kampaniach.

Różnice / porównania z innymi przypadkami

• Lipiec 2025 (≤ 3.2.0): luka wymagała zalogowanego Subscribera (błędna autoryzacja w REST API), co ograniczało wektor do authenticated.
• Listopad 2025 (< 3.6.1): obecny błąd umożliwia pełny, nieautoryzowany odczyt logów (unauthenticated), co znacznie obniża barierę ataku i zwiększa automatyzację skanów/botnetów.

Podsumowanie / najważniejsze wnioski

• Luka w Post SMTP < 3.6.1 jest krytyczna i aktywnie wykorzystywana do przejmowania kont.
• Mechanizm ataku jest prosty (odczyt logów → reset hasła), więc czas reakcji jest kluczowy.
• Aktualizacja, rotacja sekretów i czyszczenie logów to trzy najważniejsze, natychmiastowe kroki.
• W dłuższym horyzoncie: redukuj logowanie treści e-maili, wzmacniaj MFA/WAF, monitoruj IOC.

Źródła / bibliografia

• BleepingComputer – informacja o trwających atakach (04.11.2025). (BleepingComputer)
• WPScan – karta wtyczki i wpis o luce < 3.6.1 (CVSS 9.8, fix w 3.6.1). (WPScan)
• Wordfence – analiza i rekomendacje operacyjne; potwierdzenie aktywnej eksploatacji (listopad 2025). (wordfence.com)
• Patchstack – wcześniejsze błędy kontroli dostępu (≤ 3.2.0) i ryzyko przejęcia kont. (Patchstack)
• WIZ – CVE-2025-11833 (tło, metadane CVE). (wiz.io)