Ένα από τα πιο δημοφιλή plugins του WordPress, με εκατοντάδες χιλιάδες ενεργές εγκαταστάσεις, περιείχε μια σοβαρή ευπάθεια που επέτρεπε σε κυβερνοεγκληματίες να πάρουν τον πλήρη έλεγχο ιστοσελίδων, όπως προειδοποιούν ειδικοί στην κυβερνοασφάλεια.

Το plugin ονομάζεται Post SMTP και χρησιμοποιείται για να αντικαταστήσει τη βασική λειτουργία αποστολής email του WordPress με έναν ασφαλέστερο μηχανισμό SMTP. Αυτή τη στιγμή καταγράφει πάνω από 400.000 ενεργές εγκαταστάσεις.

Σύμφωνα με ερευνητές της PatchStack, το σύστημα ελέγχου πρόσβασης σε ένα endpoint του REST API του plugin είχε κρίσιμο πρόβλημα: επαλήθευε μόνο αν ένας χρήστης ήταν συνδεδεμένος, χωρίς να ελέγχει αν είχε τις κατάλληλες άδειες για να εκτελέσει συγκεκριμένες ενέργειες.

Το αποτέλεσμα; Χρήστες με χαμηλά προνόμια μπορούσαν να έχουν πρόσβαση στα email logs, να βλέπουν το περιεχόμενο email επαναφοράς κωδικού και έτσι να επαναφέρουν τον κωδικό του διαχειριστή (admin), αποκτώντας πλήρη έλεγχο της ιστοσελίδας.

Πότε εντοπίστηκε και ποια έκδοση το διορθώνει

Η ευπάθεια εντοπίστηκε για πρώτη φορά στις 23 Μαΐου, ενώ στις 26 Μαΐου της αποδόθηκε ο επίσημος κωδικός CVE-2025-24000, με βαθμό σοβαρότητας 8.8/10, που κατατάσσεται ως μέτρια προς σοβαρή απειλή.

Από τα επίσημα στατιστικά λήψεων του WordPress.org, μόλις το 59,8% των εγκαταστάσεων του Post SMTP χρησιμοποιούν έκδοση 3.1 ή νεότερη, γεγονός που σημαίνει πως περίπου 40,2% των ιστοσελίδων εξακολουθούν να είναι εκτεθειμένες.

Με δεδομένο ότι το plugin χρησιμοποιείται σε πάνω από 400.000 sites, περισσότερες από 160.000 ιστοσελίδες παραμένουν ευάλωτες και μπορούν ακόμη να δεχθούν επίθεση με αυτή τη μέθοδο.

Γιατί WordPress και plugins βρίσκονται στο στόχαστρο των επιθέσεων

Το WordPress παραμένει ο δημοφιλέστερος κατασκευαστής ιστοσελίδων παγκοσμίως, «τρέχοντας» πάνω από το 50% του συνόλου των sites στο διαδίκτυο. Ως εκ τούτου, αποτελεί ελκυστικό στόχο για κυβερνοεπιθέσεις.

Αν και ο πυρήνας του WordPress θεωρείται γενικά ασφαλής, τα plugins και τα themes δεν διαθέτουν πάντα το ίδιο επίπεδο ασφάλειας ή υποστήριξης. Αυτός είναι και ο λόγος που ειδικοί στην κυβερνοασφάλεια συνιστούν:

• Να διατηρούνται ενεργά μόνο τα απολύτως απαραίτητα plugins και θέματα (themes)
• Να γίνονται τακτικές ενημερώσεις σε όλα τα πρόσθετα

Η συγκεκριμένη ευπάθεια διορθώθηκε στην έκδοση 3.3.0, η οποία κυκλοφόρησε στις 11 Ιουνίου 2025. Όσοι χρησιμοποιούν το plugin Post SMTP θα πρέπει να προβούν άμεσα σε αναβάθμιση για να εξασφαλίσουν την προστασία της ιστοσελίδας τους.