热门 WordPress 插件 Post SMTP 存在严重漏洞，影响超过 40 万个网站。安全公司 Patchstack 披露，该插件存在访问控制失效漏洞（CVE-2025-24000），攻击者可借此通过 REST API 实现账户接管，危及整个网站安全。目前，漏洞已在 3.3.0 版本中被修复，CVSS 评分为 8.8。

Patchstack 报告指出：“在 3.2.0 及更早版本中，Post SMTP 插件的多个 REST API 端点存在访问控制失效问题。”

Post SMTP 由 WPExperts 的 Saad Iqbal 开发，是一款广泛使用的插件，主要用于优化 WordPress 邮件发送流程，支持自定义邮件服务、邮件日志记录、DNS 验证和 OAuth 授权等功能。

漏洞根源在于插件中的 get_logs_permission 函数，该函数负责对 REST API 的访问进行权限验证。然而，该函数仅验证用户是否已登录，而未进一步核查其权限级别。

安全公告指出：“在受影响版本中，REST API 端点仅验证用户是否登录，而未验证其是否具备执行相关操作的权限。”

这意味着，即便是权限最低的“订阅者”（Subscriber）用户，也能调用关键 API 功能，例如：

· 查看完整邮件日志（包括邮件正文）

· 重新发送历史邮件

· 查看邮件统计数据

更严重的是，攻击者还可借此拦截密码重置邮件，从而轻松接管管理员账户。

公告指出：“攻击者可利用此漏洞，从低权限用户升级为管理员账户，从而实现网站的完全控制。”

该漏洞是一种典型的权限提升攻击，攻击者可借由访问控制漏洞，从普通账户逐步获取站点最高权限，最终完全控制 WordPress 网站。

目前，Post SMTP 插件已在 3.3.0 版本中修复该漏洞，并加强了 REST API 的权限验证机制。

安全机构强烈建议所有使用 Post SMTP 插件的网站管理员立即升级至 3.3.0 或更高版本，以防范潜在攻击风险。