Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 28 July 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.07.28

Feil i Post-SMTP-plugin eksponerer uoppdaterte WordPress-nettsteder for kapringsangrep.

Feil i Post-SMTP-plugin eksponerer uoppdaterte WordPress-nettsteder for kapringsangrep

En ny sårbarhet, CVE‑2025‑24000, er oppdaget i Post-SMTP‑plugin for WordPress som er blitt installert på over 400 000 nettsteder. Den påvirker alle versjoner opp til og med 3.2.0, og skyldes en mangelfull tilgangskontroll i REST‑API‑endepunktet. Den sjekker kun om brukeren er innlogget, og ikke brukerens brukerrollenivå. Dermed kan brukere med lav privilegier få tilgang til e‑postlogger, sette i gang tilbakestilling av passord for administratorer, fange opp tilbakestillings-e-post via loggene, og ta over admin‑kontoen. Oppdatering med privilegiekontroll ble utgitt i versjon 3.3.0 11. juni 2025, men mindre enn halvparten av plugin-modulens brukerbase har oppdatert til versjon 3.3.

Anbefaling:

Det anbefales sterkt å oppdatere umiddelbart Post SMTP‑pluginet til versjon 3.3.0 eller nyere for å få på plass riktig tilgangsvalidering.

Posted by tsoc at 10:38

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>