Kritische Sicherheitslücke in Post SMTP Plugin ermöglicht Kontoübernahmen

Über 400.000 WordPress-Websites sind von einer kritischen Schwachstelle (CVE-2025-11833) im Plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App betroffen. Die Lücke mit einem CVSS-Score von 9.8 erlaubt es Angreifern ohne Authentifizierung, E-Mail-Logs einzusehen – darunter auch Passwort-Zurücksetzungs-Mails. So können Angreifer Administrator-Konten übernehmen und komplette Websites kompromittieren.

Laut Wordfence wurde die Schwachstelle am 11. Oktober 2025 gemeldet und ab dem 1. November aktiv ausgenutzt. Bereits über 4.500 Angriffsversuche wurden blockiert. Die Ursache liegt in einer fehlenden Berechtigungsprüfung innerhalb der __construct-Funktion des Plugins, wodurch unautorisierte Zugriffe auf gespeicherte E-Mails möglich sind.

Ein Patch steht seit dem 29. Oktober 2025 mit Version 3.6.1 zur Verfügung. Nutzer sollten das Update umgehend installieren. Wordfence-Premium-Kunden sind seit dem 15. Oktober geschützt; die kostenlose Version erhält Schutzregeln ab dem 14. November.

Related Posts

Kritische Authentifizierungs­lücke in Dell Storage Manager ermöglicht Remote-Zugriff ohne Login

Dell warnt vor einer kritischen Sicherheitslücke (CVE-2025-43995) in Dell Storage Center / Dell Storage Manager (DSM) Version 20.1.21, die eine Umgehung der Authentifizierung erlaubt. Laut Dell kann ein unauthentifizierter, entfernter Angreifer über manipulierte Anfragen an die Komponente ApiProxy.war im DataCollectorEar.ear auf interne DSM-APIs zugreifen.

Read More

Race Condition in Proxmox Backup Server kann zu beschädigten Backups führen

Proxmox hat eine Warnung zu einer Race Condition in Proxmox Backup Server 3.3 und älter veröffentlicht, die unter bestimmten Umständen zu korrupten Backups führen kann. Der Fehler tritt auf, wenn während einer laufenden Garbage-Collection (GC) gleichzeitig Snapshots gelöscht oder neue erstellt werden. Dabei kann es passieren, dass GC irrtümlich noch benötigte Datenblöcke entfernt, wodurch betroffene Sicherungen nicht mehr verifiziert oder wiederhergestellt werden können.

Read More

Israel ruft 700 chinesische Dienstfahrzeuge wegen Spionagegefahr zurück

Die israelischen Streitkräfte (IDF) haben laut Medienberichten rund 700 chinesische Fahrzeuge aus dem Fuhrpark hochrangiger Offiziere zurückgerufen. Hintergrund sind Sicherheitswarnungen, wonach in den Autos verbaute Kameras, Mikrofone, Sensoren und Kommunikationssysteme potenziell zur Datenübertragung oder Spionage missbraucht werden könnten.

Read More