WordPress プラグイン Post SMTP の脆弱性 CVE-2025-11833：実稼働環境での悪用を確認

Critical WordPress Post SMTP Plugin Vulnerability Puts 400,000 Sites at Risk of Account Takeover

2025/11/04 gbhackers — WordPress プラグインである Post SMTP に深刻な脆弱性が発見され、Web 上で稼働中の 40 万以上のインストールに影響を及ぼしている。この脆弱性 CVE-2025-11833 (CVSS：9.8) を悪用する未認証の攻撃者は、機密メールログへアクセスし、WordPress サイトのアカウント乗っ取りの可能性を得る。2025年11月1日以降に研究者たちが確認した悪用の試行は 4,500 件以上に達し、この脅威キャンペーンの活発化を示している。

2025年10月11日にセキュリティ研究者たちは、Wordfence のバグ報奨金プログラムを通じて、Post SMTP バージョン 3.6.0 以下に深刻な認証関連の脆弱性が存在することを明らかにした。

この脆弱性は、プラグインの PostmanEmailLogs クラスのコンストラクタにおける権限チェックの欠如に起因しており、ログに記録されたメール・メッセージを表示する際の、ユーザー権限検証の欠落を引き起こしている。この見落としにより、攻撃者たちは認証を必要とすることなく、プラグインのメールログ機能へ直接アクセスできる。

Post SMTP プラグインは、信頼性の高い SMTP メーラーにより、WordPress のデフォルト PHP メール機能を置き換えるものであり、包括的なメールログ機能を提供するよう設計されている。

しかし、適切な認証制御が欠如しているため、正規の URL パラメータにアクセスするインターネット上の誰もが、そのメールログを閲覧できる状況にある。つまり、機密性の高いパスワード・リセット・メールに含まれるリセット・リンクの閲覧も可能となる。

この欠陥を悪用する攻撃者は、管理者アカウントのパスワード・リセットをトリガーし、ログから再送信されたリセット・メールを傍受してリセット・リンクを不正に取得し、アカウントを完全に乗っ取ることが可能になる。

侵入に成功した攻撃者は完全な管理者権限を取得し、コンテンツの改ざん／悪意のコード注入／バックドア設置による永続的なアクセス確保などを可能にする。

WordPress Post SMTP プラグインの脆弱性

この脆弱性は、WordPress サイト所有者にとって差し迫った脅威である。

Wordfence のテレメトリ・データによると、2025年11月1日時点で攻撃者たちは、この脆弱性を標的にしている。セキュリティ研究者たちは、問題が発覚した後の数日間で 4,500 件以上の悪用試行をブロックしたという。

この脆弱性の重大性と、影響を受けるプラグインの広範な普及状況を踏まえ、今後の数週間で悪用活動が急増すると、サイバー・セキュリティ専門家たちは予測している。

Wordfence Premium／Care／Response のユーザーは、脆弱性が確認された後の 2025年10月15日に、新たに実装されたファイアウォール・ルールによる保護を受けている。

その一方で、無料版 Wordfence ユーザーは、2025年11月14日に同様の保護を受ける予定である。したがって、有料セキュリティ・ソリューションを導入していないサイトでは、最大で 30 日の遅延が生じる。

このタイムラインが示すのは、アクティブなセキュリティ監視を行っていないユーザーにとって、手動でのパッチ適用が必須であることだ。

リリースされたパッチと推奨事項

このプラグインのベンダーは、2025年10月29日にリリースした Post SMTP 3.6.1 で、認証バイパスの脆弱性を完全に修正している。

この脆弱性を発見した研究者 netranger は、Wordfence のバグバウンティ・プログラムを通じて $7,800 の報奨金を受け取った。これは、高品質な脆弱性研究と責任ある情報開示を奨励するという、同プログラムの姿勢を示すものである。

WordPress サイト管理者に対して推奨されるのは、Post SMTP バージョン 3.6.1 以降へと直ちにアップデートすることである。この脆弱性の重大性と、実際に悪用が確認されている状況を踏まえると、アップデートは最優先の事項である。

旧バージョンのプラグインを使用しているサイトは、管理者権限の取得を狙う素早い脅威アクターたちの標的とされ続ける。

Web サイト所有者はインストール状況を確認して、パッチを適用すると同時に、このアドバイザリを WordPress コミュニティ内で共有し、エコシステム全体の防御を強化すべきである。

Post SMTP プラグインの認証チェック漏れが原因で、未認証の第三者でもメールログにアクセスできてしまうという問題が生じています。最も深刻なシナリオは、リセット・メールから管理者アカウントを奪取できる仕組みになっていることです。このプラグインは、数多くの WordPress サイトで使用されているため、大規模な被害につながる可能性があると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索を、ご参照ください。