WordPress altyapısını kullanan yüz binlerce site, popüler Post SMTP eklentisinde tespit edilen kritik güvenlik açığı nedeniyle ciddi bir siber risk altında bulunuyor. Uzmanlara göre saldırganlar, eklenti üzerinden yönetici hesaplarına erişerek sitelerin tam kontrolünü ele geçirebiliyor.
Kritik Zafiyet Saldırganlara Yönetici Yetkisi Kazandırıyor
Post SMTP, WordPress’in varsayılan e-posta fonksiyonuna alternatif olarak kullanılan güvenilir bir e-posta gönderim eklentisi olarak biliniyor. Ancak güvenlik araştırmacısı “netranger” tarafından ortaya çıkarılan yeni bir açık, eklentinin 3.6.0 ve önceki tüm sürümlerinde ciddi bir zafiyet bulunduğunu gösterdi. CVE-2025-11833 koduyla izlenen bu açık, 9.8 şiddet puanıyla “kritik” olarak sınıflandırıldı.
Sorun, eklentinin “PostmanEmailLogs” bileşeninde yer alan “_construct” fonksiyonunda yetkilendirme kontrolünün yapılmamasından kaynaklanıyor. Bu durum, kimliği doğrulanmamış kullanıcıların e-posta günlüklerine erişmesine imkân tanıyor. Saldırganlar bu açık sayesinde şifre sıfırlama bağlantılarını görüntüleyip yönetici hesaplarının parolasını değiştirebiliyor. Böylece site yönetimi tamamen ele geçirilebiliyor.
Savunmasız sınıf oluşturucusu
WordPress güvenlik şirketi Wordfence, araştırmacının raporunu 15 Ekim’de doğruladı ve eklenti geliştiricisi Saad Iqbal’a iletti. 29 Ekim’de yayınlanan 3.6.1 sürümüyle açık kapatıldı. Ancak WordPress.org istatistiklerine göre kullanıcıların yaklaşık yarısı henüz güncelleme yapmadı. Bu durum, 210 binden fazla sitenin halen saldırıya açık durumda olduğunu gösteriyor.
Wordfence, 1 Kasım itibarıyla CVE-2025-11833 açığının siber saldırganlar tarafından aktif şekilde kullanılmaya başlandığını açıkladı. Güvenlik firması, bugüne kadar 4.500’den fazla saldırı girişimini engellediğini belirtti. Uzmanlar, eklentiyi kullanan tüm site sahiplerinin vakit kaybetmeden Post SMTP’yi 3.6.1 sürümüne güncellemelerini ya da eklentiyi devre dışı bırakmalarını tavsiye ediyor.
Bu olay, Post SMTP’nin daha önce yaşadığı güvenlik sorunlarını da yeniden gündeme getirdi. Temmuz ayında güvenlik firması PatchStack, eklentide kullanıcıların e-posta günlüklerine erişmesine izin veren bir açığı raporlamıştı. CVE-2025-24000 olarak kayda geçen o hata da benzer şekilde yönetici hesaplarının ele geçirilmesine yol açmıştı.
Siber güvenlik uzmanları, WordPress kullanıcılarına yalnızca Post SMTP’yi değil tüm eklentilerini düzenli olarak güncellemeleri, yedekleme süreçlerini aksatmamaları ve güçlü parola politikaları kullanmaları yönünde uyarıda bulundu.
