安裝量達 40 萬的 WordPress 外掛程式中發現會導致網站接管的漏洞
一位研究人員在五月發現,
流行的電子郵件傳遞 WordPress 外掛程式中存在一個嚴重的存取控制
漏洞,攻擊者可以利用該漏洞允許任何註冊用戶(包括訂閱用戶)存取敏感資料,安全漏洞編號為 CVE-2025-24000。
據協調披露該漏洞的 WordPress 安全公司 Patchstack 稱,攻擊者可以利用該漏洞查看電子郵件統計資料、重新發送電子郵件以及訪問電子郵件日誌(其中包括電子郵件正文)。這些電子郵件日誌可以包含發送給任何使用者(包括管理員)的密碼重設電子郵件,這使得攻擊者可以重設此類帳戶的密碼並完全控制目標網站。
Post SMTP 電子郵件傳遞 WordPress 外掛程式受到嚴重漏洞的影響,一半使用該外掛程式的網站仍未修補。WordPress 網站管理員必須保持其外掛程式為最新版本,因為威脅行為者經常利用外掛程式和主題漏洞來攻擊網站。
資料來源:https://www.securityweek.com/flaw-allowing-website-takeover-found-in-wordpress-plugin-with-400k-installations/