Nieuws
image

200.000 WordPress-sites via lek in SMTP-plug-in op afstand over te nemen

vrijdag 25 juli 2025, 15:42 door Redactie, 5 reacties

Tweehonderdduizend WordPress-sites bevatten een kwetsbaarheid waardoor ze op afstand door aanvallers zijn over te nemen. Een beveiligingsupdate is al anderhalve maand beschikbaar, maar deze websites hebben de patch nog altijd niet geïnstalleerd. Securitybedrijf Patchstack stelt dat de kwetsbaarheid zeer gevaarlijk is en naar verwachting op grote schaal zal worden misbruikt. Details van het probleem zijn nu openbaar gemaakt.

Het beveiligingslek is aanwezig in Post SMTP, een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Een kwetsbaarheid in de plug-in zorgt ervoor dat elke willekeurige gebruiker met een account op de website, bijvoorbeeld voor het ontvangen van nieuwsbrieven of het plaatsen van reacties, ook die geen enkele rechten heeft, e-mails naar elke gebruiker kan onderscheppen en bekijken.

Het gaat dan onder andere om wachtwoordreset-mails. Een aanvaller zou in naam van een administrator een wachtwoordreset kunnen aanvragen en daarna de e-mail met resetlink kunnen bekijken, om zo het wachtwoord van de beheerder te resetten. Op 11 juni verscheen versie 3.3.0 van de plug-in waarin het probleem is verholpen. Post SMTP is op meer dan 400.000 WordPress-sites actief. Uit cijfers van WordPress.org blijkt dat sinds 11 juni ongeveer 200.000 websites de update hebben geïnstalleerd, wat inhoudt dat zo'n 200.000 sites nog kwetsbaar zijn.

Reacties (5)
Reageer met quote
25-07-2025, 18:14 door Anoniem
Wordpress plugin software. Tja das van de kwaliteit windows zullen we maar zeggen maar hoezo worden die patches niet geïnstalleerd. Dan is het ook eigen schuld dikke bult.
Reageer met quote
25-07-2025, 21:51 door Anoniem
Door Anoniem: Wordpress plugin software. Tja das van de kwaliteit windows zullen we maar zeggen maar hoezo worden die patches niet geïnstalleerd. Dan is het ook eigen schuld dikke bult.
De meeste mensen zijn er simpelweg niet mee bezig (hoewel automatische updates wel mogelijk zijn voor zover ik weet). Je zou kunnen stellen dat WordPress teveel mensen het te makkelijk heeft gemaakt om dingen te doen die ze niet kunnen overzien.
Reageer met quote
26-07-2025, 08:03 door Anoniem
Door Anoniem: Wordpress plugin software. Tja das van de kwaliteit windows zullen we maar zeggen maar hoezo worden die patches niet geïnstalleerd. Dan is het ook eigen schuld dikke bult.
Net linux. Onbekend is onbemind.
Reageer met quote
26-07-2025, 11:57 door Anoniem
Door Anoniem:
Door Anoniem: Wordpress plugin software. Tja das van de kwaliteit windows zullen we maar zeggen maar hoezo worden die patches niet geïnstalleerd. Dan is het ook eigen schuld dikke bult.
Net linux. Onbekend is onbemind.
Wordpress is niet onbekend. Je opmerking is dus vrij onnozel.
Reageer met quote
29-07-2025, 17:38 door Anoniem
Over de kwaliteit van WP plugins gesproken: De changelog lijkt dit probleem zelfs niet eens te benoemen. Dit is hem gekopieerd vanuit mijn eigen WP site (die gelukkig auto updates aan heeft staan):


3.3.0 – June 11, 2025
NEW – WP Dashboard Widget
NEW – Diagnostic Report Send Form
NEW – Mailersend Mailer Integration
FIX – Added Validation In Domain Checker DNS, SPF, DMARC
FIX – LOCO Translate Issue
FIX – Email Summary Improvement

En dit is de bron:
https://nl.wordpress.org/plugins/post-smtp/#developers
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure