Contexte
Le 11 octobre 2025, une vulnérabilité critique a été divulguée dans Post SMTP, l'un des plugins WordPress les plus utilisés pour la gestion des emails sortants (plus de 400 000 installations actives). La faille permet à tout attaquant non authentifié de déclencher une réinitialisation de mot de passe pour n'importe quel utilisateur, en exploitant l'accès non protégé aux logs d'emails du plugin — qui contiennent les liens de réinitialisation générés par WordPress.
La vulnérabilité a été activement exploitée dans les jours suivant sa divulgation, avec plus de 48 000 tentatives d'exploitation bloquées recensées en quelques semaines.
Versions affectées
- Post SMTP toutes versions antérieures à 3.6.1
Version corrigée : 3.6.1 (publiée le 11 octobre 2025)
Mécanisme d'exploitation
WordPress génère un lien de réinitialisation de mot de passe et l'envoie par email. Post SMTP intercepte cet email et le consigne dans ses logs internes pour faciliter le débogage.
La faille réside dans l'absence de contrôle d'autorisation sur l'endpoint de consultation des logs :
- L'attaquant déclenche une demande de réinitialisation de mot de passe pour un compte cible (ex. :
admin) - WordPress génère le lien de réinitialisation et le passe à Post SMTP pour envoi
- Post SMTP enregistre l'email dans ses logs sans restreindre l'accès à ces logs
- L'attaquant accède directement aux logs via l'API REST du plugin, sans authentification
- Il extrait le lien de réinitialisation et prend le contrôle du compte
L'exploitation est triviale et ne nécessite aucune connaissance préalable du site.
Impact
Une exploitation réussie permet à l'attaquant de :
- Prendre le contrôle total du compte administrateur WordPress
- Installer des plugins ou thèmes malveillants (backdoors, webshells)
- Exfiltrer la base de données (utilisateurs, contenus, configurations)
- Defacer le site ou l'utiliser comme vecteur de distribution de malware
Détection
Vérifiez si votre site est potentiellement compromis :
# Vérifier la version installée de Post SMTP
wp plugin get post-smtp --fields=version
# Rechercher des accès suspects aux logs Post SMTP dans les logs du serveur web
grep -i "post-smtp\|postman" /var/log/nginx/access.log | grep -i "log\|mail-log"
# Vérifier les comptes administrateurs récemment modifiés
wp user list --role=administrator --fields=ID,user_login,user_email,user_registered
Indicateurs de compromission :
- Connexions administrateur depuis des IPs inconnues
- Nouveaux plugins ou thèmes installés sans action de votre part
- Modifications de fichiers dans
wp-content/récentes et inattendues - Emails de réinitialisation de mot de passe non sollicités dans les logs
Remédiation
- Mettez à jour Post SMTP vers la version 3.6.1 ou supérieure immédiatement
- Réinitialisez les mots de passe de tous les comptes administrateurs par précaution
- Vérifiez les comptes administrateurs — supprimez tout compte suspect créé récemment :
wp user list --role=administrator - Auditez les plugins et thèmes installés — recherchez des installations récentes non autorisées
- Vérifiez l'intégrité des fichiers core WordPress :
wp core verify-checksums - Activez l'authentification à deux facteurs sur les comptes administrateurs
Recommandations
- Maintenez tous les plugins WordPress à jour — activez les mises à jour automatiques pour les correctifs de sécurité
- Limitez l'exposition des logs de plugins — les outils de débogage ne devraient jamais exposer des données sensibles sans authentification
- Utilisez un WAF (Wordfence, Cloudflare) pour bloquer les tentatives d'exploitation connues
- Effectuez des audits réguliers des comptes administrateurs et des plugins installés
- Sauvegardez régulièrement la base de données et les fichiers pour permettre une restauration rapide en cas de compromission