Eine gravierende Sicherheitslücke erschüttert die WordPress-Community. Das weit verbreitete Plug-in Post SMTP, das auf über 400.000 aktiven Installationen läuft, weist eine Schwachstelle auf, die nicht-authentifizierten Angreifern die komplette Übernahme der betroffenen WordPress-Instanz ermöglicht.
Die Zeit drängt, denn Angriffe auf diese Lücke (CVE-2025-11833, CVSS-Score 9.8 – KRITISCH) laufen bereits.
Die Schwachstelle: Ein direkter Weg zum Admin-Passwort
Das Problem liegt in der Logik des Plug-ins, das eigentlich dazu dient, den E-Mail-Versand von WordPress-Websites zu verbessern und zu protokollieren.
Die Sicherheitslücke erlaubt es einem nicht angemeldeten Angreifer, die internen E-Mail-Logs einzusehen. Die kritische Folge:
- Sichtbarkeit von Passwort-Reset-E-Mails: Gelangt der Angreifer an die E-Mail-Logs, kann er dort Passwort-Reset-E-Mails einsehen, die für beliebige Nutzer generiert wurden.
- Konto-Übernahme: Mit den Informationen aus der Reset-E-Mail können die bösartigen Akteure die Passwörter beliebiger Nutzer ändern – einschließlich der Konten von Administratoren.
- Komplette Instanz-Übernahme: Ist der Angreifer einmal im Besitz des Administrator-Zugangs, ist die gesamte WordPress-Website kompromittiert.
Das IT-Sicherheitsunternehmen Wordfence meldet, dass die eigenen Firewall-Systeme bereits über 4.500 Angriffe auf diese Schwachstelle in nur wenigen Tagen abgewehrt haben. Dies unterstreicht die hohe Aktivität und die Dringlichkeit der Situation.
Sofort handeln: Die Lösung ist das Update
Da die Schwachstelle als kritisch eingestuft wird und aktiv ausgenutzt wird, gibt es nur eine einzige und sofort umzusetzende Maßnahme:
Sie müssen Ihr Post SMTP Plug-in umgehend auf die korrigierte Version aktualisieren.
- Betroffene Versionen: Alle Versionen 3.6.0 und älter sind anfällig.
- Sichere Version: Installieren Sie schnellstmöglich die Version 3.6.1 oder neuer.
Obwohl WordPress-Plug-ins ein wichtiges Element für die Funktionalität vieler Websites sind, stellen sie leider auch eine häufige Angriffsfläche dar. Wie der Fall des Marktplatz-Plug-ins Dokan Pro im August gezeigt hat, können derartige Lücken die Kompromittierung ganzer Instanzen ermöglichen.
Fazit: Wenn Sie das Post SMTP Plug-in nutzen, warten Sie nicht. Die kritische Natur des Fehlers und die bereits laufenden Angriffe erfordern eine sofortige Reaktion in Ihrem WordPress-Dashboard. Sichern Sie Ihre Website jetzt.
FAQ – Oft gestellte Fragen
Was ist die kritische Schwachstelle im Post SMTP Plug-in (CVE-2025-11833)
Die Schwachstelle erlaubt unangemeldeten (nicht authentifizierten) Angreifern, die internen E-Mail-Logs des Plug-ins einzusehen. Da diese Logs unter Umständen auch Passwort-Reset-E-Mails enthalten, können die Angreifer Passwörter beliebiger Nutzer, einschließlich der Administratoren, ändern.
Was ist das höchste Risiko dieser Sicherheitslücke?
Das höchste Risiko ist die komplette Übernahme der WordPress-Instanz. Sobald ein Angreifer das Passwort eines Administrators zurücksetzen und das Konto übernehmen kann, hat er die vollständige Kontrolle über die gesamte Website.
Wie viele WordPress-Websites sind potenziell betroffen?
Das Plug-in Post SMTP verzeichnet laut Eintrag im WordPress-Verzeichnis mehr als 400.000 aktive Installationen. Alle diese Installationen, die eine anfällige Version nutzen, sind potenziell gefährdet.
Da bereits Angriffe beobachtet werden, welche Sofortmaßnahme muss ergriffen werden?
Die Sofortmaßnahme ist die unverzügliche Aktualisierung des Plug-ins. Alle IT-Verantwortlichen, die Post SMTP nutzen, sollten so schnell wie möglich auf die Version 3.6.1 (oder neuer) aktualisieren, um die kritische Sicherheitslücke zu schließen.
