ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ!
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ
ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้
ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ:
ผู้โจมตีไม่จำเป็นต้องล็อกอิน
สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที
ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ
นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน
รายละเอียดช่องโหว่ CVE-2025-11833
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization
เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล
สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คะแนน CVSS 9.8 (ระดับวิกฤต)
ผลกระทบต่อเว็บไซต์ WordPress
เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ
ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี
มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา
วิธีป้องกันและแก้ไข
อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที
ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่
เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้
ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ
https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ
ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้
ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ:
ผู้โจมตีไม่จำเป็นต้องล็อกอิน
สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที
ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ
นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน
รายละเอียดช่องโหว่ CVE-2025-11833
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization
เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล
สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
คะแนน CVSS 9.8 (ระดับวิกฤต)
ผลกระทบต่อเว็บไซต์ WordPress
เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ
ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี
มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา
วิธีป้องกันและแก้ไข
อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที
ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่
เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้
ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ
https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/
🚨🔓 ช่องโหว่ CVE-2025-11833 ในปลั๊กอิน Post SMTP ทำให้เว็บไซต์ WordPress กว่า 400,000 แห่งเสี่ยงถูกยึดบัญชีผู้ดูแลระบบ!
ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization ที่เปิดทางให้ผู้ไม่ล็อกอินสามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านและยึดบัญชีแอดมินได้ทันที โดยไม่ต้องมีสิทธิ์ใด ๆ
ปลั๊กอิน Post SMTP ใช้กันอย่างแพร่หลายในเว็บไซต์ WordPress เพื่อจัดการการส่งอีเมลให้เชื่อถือได้ เช่น อีเมลแจ้งเตือนหรือรีเซ็ตรหัสผ่าน แต่ในเวอร์ชัน ≤ 3.6.0 มีฟังก์ชันที่เปิดให้เข้าถึง log อีเมลโดยไม่ตรวจสอบสิทธิ์ผู้ใช้
ช่องโหว่นี้ (CVE-2025-11833) มีคะแนนความรุนแรง CVSS 9.8 ซึ่งถือว่า “วิกฤต” เพราะ:
🪲 ผู้โจมตีไม่จำเป็นต้องล็อกอิน
🪲 สามารถเข้าถึงอีเมลรีเซ็ตรหัสผ่านของผู้ดูแลระบบ
🪲 คลิกลิงก์รีเซ็ตแล้วตั้งรหัสใหม่ได้ทันที
🪲 ส่งผลให้สามารถยึดเว็บไซต์ได้เต็มรูปแบบ
นักวิจัยจาก Wordfence รายงานว่ามีการโจมตีจริงแล้ว โดยบล็อกได้ 2 ครั้งใน 24 ชั่วโมงที่ผ่านมา และแนะนำให้ผู้ดูแลระบบอัปเดตปลั๊กอินเป็นเวอร์ชัน 3.6.1 โดยด่วน
✅ รายละเอียดช่องโหว่ CVE-2025-11833
➡️ ปลั๊กอิน Post SMTP เวอร์ชัน ≤ 3.6.0 มีช่องโหว่ Missing Authorization
➡️ เปิดให้ผู้ไม่ล็อกอินเข้าถึง log อีเมล
➡️ สามารถเข้าถึงลิงก์รีเซ็ตรหัสผ่านของผู้ดูแลระบบ
➡️ คะแนน CVSS 9.8 (ระดับวิกฤต)
✅ ผลกระทบต่อเว็บไซต์ WordPress
➡️ เสี่ยงถูกยึดบัญชีผู้ดูแลระบบ
➡️ ส่งผลให้เว็บไซต์ถูกควบคุมโดยผู้โจมตี
➡️ มีการโจมตีจริงแล้วในช่วง 24 ชั่วโมงที่ผ่านมา
✅ วิธีป้องกันและแก้ไข
➡️ อัปเดตปลั๊กอิน Post SMTP เป็นเวอร์ชัน 3.6.1 ทันที
➡️ ตรวจสอบ log อีเมลย้อนหลังว่ามีการเข้าถึงผิดปกติหรือไม่
➡️ เปลี่ยนรหัสผ่านผู้ดูแลระบบและเปิดใช้งาน 2FA หากเป็นไปได้
➡️ ตรวจสอบสิทธิ์ของผู้ใช้ทั้งหมดในระบบ
https://securityonline.info/cve-2025-11833-cvss-9-8-critical-flaw-exposes-400000-wordpress-sites-to-unauthenticated-account-takeover/
0 Comments
0 Shares
15 Views
0 Reviews
Thai