تستغل جهات التهديد بشكل نشط ثغرة أمنية خطيرة في مكون Post SMTP الإضافي المثبت على أكثر من 400000 موقع WordPress، للتحكم الكامل عن طريق الاستيلاء على حسابات المسؤولين.
يعد Post SMTP أحد حلول تسليم البريد الإلكتروني الشائعة التي يتم تسويقها كبديل غني بالميزات وأكثر موثوقية لوظيفة ‘wp_mail()’ الافتراضية.
في 11 أكتوبر، قامت شركة أمان WordPress”https://www.wordfence.com/blog/2025/11/400000-wordpress-sites-affected-by-account-takeover-vulnerability-in-post-smtp-wordpress-plugin/” الهدف=”_blank” rel=”nofollow noopener”> ووردفينس تلقيت تقريرًا من الباحث “netranger” حول مشكلة الكشف عن سجل البريد الإلكتروني التي يمكن الاستفادة منها في هجمات الاستيلاء على الحساب.
“https://www.bleepstatic.com/c/w/wiz/Securing-AI-Agents-970×250.png” البديل=”Wiz”>
حصلت المشكلة، التي تم تتبعها بالرقم CVE-2025-11833، على درجة خطورة حرجة تبلغ 9.8 وتؤثر على جميع إصدارات Post SMTP بدءًا من الإصدار 3.6.0 والإصدارات الأقدم.
تنبع الثغرة الأمنية من عدم وجود عمليات فحص التفويض في وظيفة “_construct” لتدفق “PostmanEmailLogs” الخاص بالمكون الإضافي.
يعرض هذا المنشئ محتوى البريد الإلكتروني المسجل مباشرةً عند طلبه دون إجراء فحوصات القدرة، مما يسمح للمهاجمين غير المصادقين بقراءة رسائل البريد الإلكتروني المسجلة بشكل عشوائي.
المصدر: وردفينس
يتضمن التعرض رسائل إعادة تعيين كلمة المرور مع روابط تسمح بتغيير كلمة مرور المسؤول دون الحاجة إلى صاحب حساب شرعي، مما قد يؤدي إلى الاستيلاء على الحساب وتسوية الموقع بالكامل.
وقد تحقق Wordfence من صحة استغلال الباحث في 15 أكتوبر، وكشف المشكلة بالكامل للبائع، سعد إقبال، في نفس اليوم.
وصل التصحيح في 29 أكتوبر، مع إصدار Post SMTP 3.6.1. مرتكز على”https://wordpress.org/plugins/post-smtp/advanced/” الهدف=”_blank” rel=”nofollow noopener”> بيانات WordPress.org، قام ما يقرب من نصف مستخدمي البرنامج الإضافي بتنزيله منذ إصدار التصحيح، مما يترك ما لا يقل عن 210.000 موقع عرضة لهجمات الاستيلاء الإداري.
وفقًا لـ Wordfence، بدأ المتسللون في استغلال CVE-2025-11833 في الأول من نوفمبر. ومنذ ذلك الحين، منعت شركة الأمان أكثر من 4500 محاولة استغلال على عملائها.
نظرًا لحالة الاستغلال النشط، يُنصح أصحاب مواقع الويب الذين يستخدمون Post SMTP بالانتقال إلى الإصدار 3.6.1 على الفور أو تعطيل المكون الإضافي.
في يوليو، كشف PatchStack أن Post SMTP كان عرضة لخلل سمح للمتسللين بالوصول إلى سجلات البريد الإلكتروني التي تحتوي على محتوى الرسالة بالكامل، حتى من مستوى المشترك.
ذلك العيب،”https://www.bleepingcomputer.com/news/security/post-smtp-plugin-flaw-exposes-200k-wordpress-sites-to-hijacking-attacks/” الهدف=”_blank” rel=”nofollow noopener”> يتم تتبعه كـ CVE-2025-24000، كان له نفس التداعيات مثل CVE-2025-11833، مما يسمح للمستخدمين غير المصرح لهم بتشغيل عمليات إعادة تعيين كلمة المرور، واعتراض الرسائل، والتحكم في حسابات المسؤول.
ورقة الغش الخاصة بأسرار الأمن: من الامتداد إلى السيطرة
سواء كنت تقوم بتنظيف المفاتيح القديمة أو إعداد حواجز الحماية للتعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي، فإن هذا الدليل يساعد فريقك على البناء بشكل آمن من البداية.
احصل على ورقة الغش وتخلص من التخمين بشأن إدارة الأسرار.