(WordPress) ‘Post SMTP’ Plugin: ช่องโหว่ CVE-2025-11833 ทำให้ผู้ร้ายเข้ายึดทั้งเว็บไซต์ได้

นิตยสารออนไลน์ SecurityWeek รายงานข่าวว่า Plugin ของ WordPress ที่ชื่อ

Post SMTP

มีช่องโหว่ CVE-2025-11833 ระดับความรุนแรง “วิกฤต” คะแนนความรุนแรง 9.8

ผู้ร้ายสามารถใช้ช่องโหว่ อ่าน email log ได้

เป็นหนทางให้อ่านลิ้งค์การทำ password reset และเข้าสวมรอยแทนเจ้าของบัญชีได้

กรณีเลวร้ายที่สุด ผู้ร้ายสามารถ password reset ของแอดมิน และเข้ายึดเว็บไซต์ได้

ผู้พัฒนา plugin ได้แก้ปัญหาแล้วใน Post SMTP 3.6.1 เมื่อ 2025-10-29

แต่ทว่า ในจำนวนการติดตั้งกว่า 400,000 ครั้งนั้น กว่า 200,000 ครั้งเกิดขึ้นก่อนเวอร์ชั่นแก้ไขจะถูกเผยแพร่

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านรายละเอียดในข่าวของ SecurityWeek ได้ที่:

https://www.securityweek.com/exploited-post-smtp-plugin-flaw-exposes-wordpress-sites-to-takeover

อ่านรายละเอียดของ Wordfence ได้ที่:

https://www.wordfence.com/blog/2025/11/400000-wordpress-sites-affected-by-account-takeover-vulnerability-in-post-smtp-wordpress-plugin