Aktive Angriffe auf Post-SMTP-Plugin: Kritische WordPress-Lücke ermöglicht Kontoübernahmen

Eine Sicherheitslücke im weit verbreiteten WordPress-Plugin Post SMTP erlaubt es Angreifern, ohne Anmeldung auf E-Mail-Protokolle zuzugreifen. Betroffen sind mehr als 400.000 Installationen. Über einsehbare Passwort-Reset-Mails können Angreifer Benutzerkonten übernehmen – bis hin zur vollständigen Website-Kontrolle.

Unautorisierter Zugriff auf sensible E-Mail-Protokolle

Am 11. Oktober 2025 ging eine Meldung über eine kritische Schwachstelle im Plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App ein. Laut Wordfence betrifft die Lücke sämtliche Versionen bis einschließlich 3.6.0.

Eine fehlende Funktionsprüfung in der Konstruktor-Methode (__construct) erlaubt es nicht authentifizierten Angreifern, auf das interne E-Mail-Log-System zuzugreifen. Dort lassen sich sämtliche protokollierten Nachrichten auslesen – darunter auch sensible E-Mails zum Zurücksetzen von Passwörtern.

Kontoübernahme durch abgefangene Passwort-Reset-Mails

Der Angriff ist technisch vergleichsweise simpel:

1. Der Angreifer initiiert eine Passwort-Zurücksetzung für ein beliebiges Benutzerkonto, etwa den Administrator.

2. Über die Schwachstelle ruft er die zugehörige Reset-E-Mail direkt aus den Log-Daten des Plugins ab.

3. Mit dem enthaltenen Link kann das Passwort geändert und das Konto übernommen werden.

Auf diese Weise ist eine vollständige Kompromittierung der betroffenen Website möglich.

Aktive Ausnutzung seit Anfang November

Wordfence registrierte erste Exploit-Versuche bereits am 1. November 2025, einen Tag nach der Aufnahme der Lücke in die eigene Schwachstellendatenbank.
Seit dem 2. November 2025 scheint eine automatisierte Massen-Ausnutzung zu laufen.

Bisher hat die Wordfence-Firewall laut eigenen Angaben mehr als 10.300 Angriffe auf diese Schwachstelle blockiert.

Betroffene Versionen

Gefährdet sind alle Versionen von Post SMTP bis einschließlich Version 3.6.0.
Administratoren sollten das Plugin umgehend aktualisieren oder vorübergehend deaktivieren, wenn noch kein Fix verfügbar ist.

Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App <= 3.6.0 – Missing Authorization to Account Takeover via Unauthenticated Email Log Disclosure

Hinweise auf eine Kompromittierung

Folgende Anzeichen deuten auf eine mögliche Übernahme hin:

• Unerwartete E-Mails zum Zurücksetzen des Passworts

• Fehlgeschlagene Login-Versuche mit bisher korrekt funktionierenden Zugangsdaten

• Neue, unbekannte Administrator-Konten im System

Solche neu angelegten Admin-Benutzer werden häufig zur langfristigen Sicherung des Zugriffs durch Angreifer genutzt.

Verdächtige Anfragen erkennen

Betroffene sollten die Webserver-Zugriffsprotokolle auf verdächtige Requests überprüfen, insbesondere auf Aufrufe mit folgenden Parametern:

?action=lostpassword&page=postman_email_log&view=log&log_id=1

Auch Anfragen von diesen IP-Adressen gelten als hochverdächtig:

• 212.59.70.30

• 85.192.29.68

• 95.181.162.6

• 185.120.59.204

• 196.251.88.101

• 141.11.62.221

• 196.251.88.226

Fazit: Sofortiger Handlungsbedarf für WordPress-Betreiber

Die Kombination aus fehlender Zugriffskontrolle und frei zugänglichen E-Mail-Protokollen macht die Schwachstelle besonders gefährlich. Da sie aktiv ausgenutzt wird, sollten Website-Betreiber nicht abwarten, sondern umgehend reagieren:

• Plugin updaten oder deaktivieren

• Passwörter neu setzen

• Benutzerkonten und Logs prüfen

• Angreifer-IP-Adressen blockieren

Lesen Sie auch:

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk