Tin tặc khai thác plugin WordPress Post SMTP để chiếm đoạt tài khoản quản trị viên

Vào ngày 11/10, công ty bảo mật WordPress Wordfence đã nhận được báo cáo từ nhà nghiên cứu “netranger” về vấn đề tiết lộ log email có thể bị lợi dụng để tấn công chiếm đoạt tài khoản. Sự cố được theo dõi với mã định danh CVE-2025-11833 (điểm CVSS: 9.8) và ảnh hưởng đến tất cả các phiên bản Post SMTP từ 3.6.0 trở về trước.

Lỗ hổng này bắt nguồn từ việc thiếu kiểm tra quyền trong hàm “_construct” luồng PostmanEmailLogs của plugin. Constructor này sẽ trực tiếp hiển thị nội dung email đã ghi log khi được yêu cầu mà không thực hiện kiểm tra tính năng, cho phép kẻ tấn công chưa được xác thực đọc các email đã ghi log tùy ý. Lỗ hổng bao gồm các thông báo đặt lại mật khẩu tài khoản quản trị viên mà không cần chủ tài khoản hợp pháp, có khả năng dẫn đến việc chiếm đoạt tài khoản và xâm phạm toàn bộ trang web. Wordfence đã xác thực lỗ hổng của nhà nghiên cứu vào ngày 15/10 và tiết lộ đầy đủ vấn đề cho nhà cung cấp, Saad Iqbal, vào cùng ngày.

Bản vá đã được phát hành vào ngày 29/10, với Post SMTP phiên bản 3.6.1. Dựa trên dữ liệu của WordPress.org, gần một nửa số người dùng plugin đã tải xuống bản vá này kể từ khi được phát hành, khiến ít nhất 210.000 trang web có nguy cơ bị tấn công chiếm quyền quản trị.

Theo Wordfence, tin tặc bắt đầu khai thác CVE-2025-11833 vào ngày 01/11. Kể từ đó, công ty bảo mật này đã ngăn chặn hơn 4.500 nỗ lực khai thác nhắm vào khách hàng của mình. Do mối đe dọa này đang diễn ra, chủ sở hữu trang web sử dụng Post SMTP được khuyến cáo chuyển sang phiên bản 3.6.1 ngay lập tức hoặc vô hiệu hóa plugin.

Vào tháng 7/2025, PatchStack tiết lộ rằng Post SMTP dễ bị tấn công bởi một lỗ hổng cho phép tin tặc truy cập vào log email chứa toàn bộ nội dung tin nhắn, ngay cả từ cấp độ người đăng ký. Lỗ hổng được theo dõi với mã định danh CVE-2025-24000, có hậu quả tương tự như CVE-2025-11833, cho phép người dùng trái phép kích hoạt việc đặt lại mật khẩu, chặn tin nhắn và kiểm soát tài khoản quản trị viên.