Wordfence在本週發布的一篇部落格文章中表示，該公司於10月11日透過其漏洞賞金計畫收到了一份關於WordPress外掛程式Post SMTP漏洞的報告。幾週後，11月1日，攻擊者開始利用漏洞，從而控制WordPress帳戶和網站。資料顯示，威脅行為者正瞄準一款下載量超過 40 萬次的 WordPress 外掛程式中發現的漏洞，該漏洞允許攻擊者接管帳戶和網站，Wordfence的研究人員預計很快就會有更多攻擊真正開始。

此嚴重漏洞編號為 CVE-2025-11833，CVSS 評分為 9.8 分。根據 Wordfence 的公告，由於 3.6.0 及更早版本中 __construct 函數缺少功能檢查，此漏洞允許未經授權存取資料。由於 WordPress 平台及其外掛程式被廣泛用作數百萬個網站的基礎，因此它們尤其容易成為威脅行為者的攻擊目標，使他們能夠輕易地接觸到廣泛的攻擊面。

Post SMTP 是一款廣受歡迎的 WordPress 外掛程式，專門用於處理網站的電子郵件傳輸，其超過 40 萬次的活躍下載量使其成為一個極具吸引力的攻擊目標。此漏洞的嚴重性（CVSS 評分高達 9.8）凸顯了其在網路安全領域的急迫性，因為它幾乎不需要任何身份驗證即可被利用，使網站面臨被完全接管的風險。一旦網站被接管，攻擊者不僅可以竊取用戶資料，還可能將網站用於惡意軟體散佈或釣魚活動。

這次攻擊活動的發現，印證了零日漏洞或新公開漏洞在軟體發布修復後，會迅速被惡意行為者利用的趨勢。從 Wordfence 收到漏洞報告（10月11日）到攻擊者開始利用（11月1日）之間，僅僅間隔了數週時間。這也強調了對於網站管理員而言，即時更新和修補軟體的重要性，以縮短漏洞暴露的時間窗口。

Wordfence 向 Post SMPT 的開發團隊報告了該漏洞後，於 10 月 29 日發布了插件的更新版本 3.6.1，修復了該漏洞。 Wordfence 敦促在其網站上使用該插件的任何人立即更新，以避免遭受攻擊，因為其數據顯示攻擊不僅已經開始，而且“大規模攻擊活動很可能在未來幾天內開始。

網站營運者和安全專業人員應將此漏洞視為高度優先事項，立即檢查其安裝的 Post SMTP 外掛程式版本。任何運行 3.6.0 或更早版本的網站都處於極度危險之中，必須迅速升級至最新的 3.6.1 版本或更高版本，以防止帳戶被接管或敏感資料外洩。這起事件再次提醒業界，即使是看似無害的輔助性外掛程式，也可能因程式碼中細微的功能缺陷而成為危及整個網站安全的關鍵入口。

資料來源：https://www.darkreading.com/vulnerabilities-threats/critical-site-takeover-flaw-400k-wordpress-sites