Über 400.000 WordPress-Websites sind von einer kritischen Schwachstelle (CVE-2025-11833) im Plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App betroffen. Die Lücke mit einem CVSS-Score von 9.8 erlaubt es Angreifern ohne Authentifizierung, E-Mail-Logs einzusehen – darunter auch Passwort-Zurücksetzungs-Mails. So können Angreifer Administrator-Konten übernehmen und komplette Websites kompromittieren.
Laut Wordfence wurde die Schwachstelle am 11. Oktober 2025 gemeldet und ab dem 1. November aktiv ausgenutzt. Bereits über 4.500 Angriffsversuche wurden blockiert. Die Ursache liegt in einer fehlenden Berechtigungsprüfung innerhalb der __construct-Funktion des Plugins, wodurch unautorisierte Zugriffe auf gespeicherte E-Mails möglich sind.
Ein Patch steht seit dem 29. Oktober 2025 mit Version 3.6.1 zur Verfügung. Nutzer sollten das Update umgehend installieren. Wordfence-Premium-Kunden sind seit dem 15. Oktober geschützt; die kostenlose Version erhält Schutzregeln ab dem 14. November.
