【安全资讯】黑客利用WordPress插件Post SMTP漏洞劫持管理员账户

概要：

近日，全球超过40万个使用WordPress平台的网站面临严重安全威胁。黑客正积极利用Post SMTP邮件插件中的关键身份验证漏洞（CVE-2025-11833），通过窃取密码重置邮件完全控制网站管理员账户。这一零日漏洞因其9.8的高危评分和广泛影响范围，已成为当前最紧迫的网络安全问题之一。

主要内容：

该漏洞存在于Post SMTP插件3.6.0及更早版本的‘PostmanEmailLogs’流程中。其核心技术缺陷在于‘_construct’函数缺乏授权验证机制，导致未经验证的攻击者能够直接读取系统记录的所有邮件内容。

攻击者通过截获包含密码重置链接的管理员邮件，无需原始账户持有者授权即可直接修改密码。这种攻击方式使得黑客能完全接管网站控制权，进而实施数据窃取、恶意软件植入等进一步破坏活动。

根据Wordfence监测数据，自11月1日漏洞被利用以来，已成功拦截超过4500次攻击尝试。尽管厂商已于10月29日发布3.6.1修复版本，但仍有至少21万个网站尚未更新，持续暴露在攻击风险之下。

值得注意的是，这已是Post SMTP插件今年第二次出现同类漏洞。此前披露的CVE-2025-24000漏洞具有相同攻击后果，反映出该插件在权限控制方面存在持续性问题。安全专家强烈建议用户立即升级至最新版本或暂时停用该插件。