Les acteurs de la menace exploitent activement une vulnérabilité critique dans le plugin Post SMTP installé sur plus de 400 000 sites WordPress, pour en prendre le contrôle total en détournant les comptes administrateurs.
Post SMTP est une solution de distribution d’e-mails populaire commercialisée comme un remplacement riche en fonctionnalités et plus fiable de la fonction par défaut ‘wp_mail ()’.
Le 11 octobre, la société de sécurité WordPress Wordfence a reçu un rapport du chercheur « netranger » sur un problème de divulgation du journal des e-mails qui pourrait être exploité pour des attaques de prise de contrôle de compte.
Le problème, suivi sous le numéro CVE-2025-11833, a reçu un score de gravité critique de 9,8 et affecte toutes les versions de Post SMTP à partir de 3.6.0 et antérieures.
La vulnérabilité provient de l’absence de vérifications d’autorisation dans la fonction ‘_construct’ du flux ‘PostmanEmailLogs’ du plugin.
Ce constructeur affiche directement le contenu des e-mails consignés lorsqu’il est demandé sans effectuer de vérifications de capacité, permettant aux attaquants non authentifiés de lire des e-mails consignés arbitraires.
L’exposition comprend des messages de réinitialisation de mot de passe avec des liens qui permettent de changer le mot de passe d’un administrateur sans avoir besoin d’un titulaire de compte légitime, ce qui peut entraîner la prise de contrôle du compte et la compromission complète du site.
Wordfence a validé l’exploit du chercheur le 15 octobre et a entièrement divulgué le problème au fournisseur, Saad Iqbal, le même jour.
Un correctif est arrivé le 29 octobre, avec la version Post SMTP 3.6.1. Basé sur WordPress.org les données, environ la moitié des utilisateurs du plugin les ont téléchargées depuis la sortie du correctif, laissant au moins 210 000 sites vulnérables aux attaques de prise de contrôle par l’administrateur.
Selon Wordfence, les pirates ont commencé à exploiter CVE-2025-11833 le 1er novembre. Depuis lors, l’entreprise de sécurité a bloqué plus de 4 500 tentatives d’exploitation sur ses clients.
Compte tenu du statut d’exploitation actif, il est conseillé aux propriétaires de sites Web utilisant Post SMTP de passer immédiatement à la version 3.6.1 ou de désactiver le plugin.
En juillet, PatchStack a révélé que Post SMTP était vulnérable à une faille qui permettait aux pirates d’accéder aux journaux de messagerie contenant le contenu complet des messages, même à partir d’un niveau d’abonné.
Cette faille, identifiée comme CVE-2025-24000, a eu les mêmes répercussions que CVE-2025-11833, permettant à des utilisateurs non autorisés de déclencher des réinitialisations de mot de passe, d’intercepter des messages et de prendre le contrôle des comptes administrateurs.