Adminfiókok pár kattintással eltéríthetők
A hibát (CVE-2025-11833) egy kutató fedezte fel októberben: jelszóváltoztatást lehet kérni az adminisztrátor számára, a visszaállítási linkeket pedig így bárki megszerezheti. Ezzel az adminfiókok átvehetők, tulajdonképpen az egész weboldal átírható vagy akár törölhető is.
Javítás már elérhető, de több mint 210 000 oldal veszélyben
A hibát a fejlesztő csak október 29-én javította, a 3.6.1-es verzióban. Becslések szerint ennek ellenére még legalább 210 000 oldal továbbra is sérülékeny, mert nem frissítették a bővítményt. A hackerek november 1-jétől már aktívan támadják a sebezhető oldalakat, több mint 4500 támadási kísérletet regisztráltak.
Már volt hasonló botrány
Ez nem az első eset, hogy a Post SMTP ilyen súlyosan érintett: már júliusban is találtak egy hibát, amely szintén lehetővé tette a jelszó-visszaállító üzenetek lehallgatását és a jogosulatlan fiókátvételt. A felhasználóknak azonnal frissíteniük kell a bővítményt, vagy akár teljesen le is tilthatják, ha nem feltétlenül szükséges.
