WordPress-sites aangevallen via kritiek beveiligingslek in plug-in Post SMTP

In dit artikel:

Een kritieke kwetsbaarheid (CVE-2025-11833) in de WordPress‑plugin Post SMTP maakt actieve kapingen van sites mogelijk. Post SMTP, gebruikt door meer dan 400.000 websites, lekt via foutieve logging elke binnenkomende e‑mail aan onbevoegden — waaronder wachtwoord‑resetlinks. Een aanvaller kan zo eerst een reset aanvragen, de link uit de logs lezen en vervolgens het admin‑account overnemen. De ernstscore is 9,8. De ontwikkelaars brachten op 29 oktober een patch uit; beveiligingsbedrijf Wordfence rapporteert misbruik sinds 1 november. Volgens WordPress.org hebben nog circa 200.000 installaties de update niet toegepast. Websites met Post SMTP moeten direct updaten; wie dat niet kan, zet de plugin uit, beperkt logtoegang, controleert op compromittering en activeert extra beveiliging zoals tweefactorauthenticatie.