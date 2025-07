Tweehonderdduizend WordPress-sites bevatten een kwetsbaarheid waardoor ze op afstand door aanvallers zijn over te nemen. Een beveiligingsupdate is al anderhalve maand beschikbaar, maar deze websites hebben de patch nog altijd niet geïnstalleerd. Securitybedrijf Patchstack stelt dat de kwetsbaarheid zeer gevaarlijk is en naar verwachting op grote schaal zal worden misbruikt. Details van het probleem zijn nu openbaar gemaakt.

Het beveiligingslek is aanwezig in Post SMTP, een plug-in waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Een kwetsbaarheid in de plug-in zorgt ervoor dat elke willekeurige gebruiker met een account op de website, bijvoorbeeld voor het ontvangen van nieuwsbrieven of het plaatsen van reacties, ook die geen enkele rechten heeft, e-mails naar elke gebruiker kan onderscheppen en bekijken.

Het gaat dan onder andere om wachtwoordreset-mails. Een aanvaller zou in naam van een administrator een wachtwoordreset kunnen aanvragen en daarna de e-mail met resetlink kunnen bekijken, om zo het wachtwoord van de beheerder te resetten. Op 11 juni verscheen versie 3.3.0 van de plug-in waarin het probleem is verholpen. Post SMTP is op meer dan 400.000 WordPress-sites actief. Uit cijfers van WordPress.org blijkt dat sinds 11 juni ongeveer 200.000 websites de update hebben geïnstalleerd, wat inhoudt dat zo'n 200.000 sites nog kwetsbaar zijn.