WordPress-websites worden momenteel aangevallen door een ernstig beveiligingslek in de Post SMTP-plug-in. Hoewel er al enkele dagen een beveiligingsupdate beschikbaar is, hebben ongeveer tweehonderdduizend sites deze nog niet geïnstalleerd.

De Post SMTP-plug-in stelt gebruikers in staat een SMTP-mailer in WordPress te configureren voor e-mailverzending. Meer dan 400.000 websites maken hiervan gebruik. De kwetsbaarheid, aangeduid als CVE-2025-11833, laat een aanvaller zonder authenticatie toe om op afstand alle gelogde e-mails te lezen, inclusief wachtwoordresetlinks. Dit stelt de aanvaller in staat om een wachtwoordreset voor de beheerder aan te vragen en de resetlink in de logbestanden te bekijken. Hiermee kan de aanvaller het wachtwoord van het admin-account wijzigen en de site overnemen. De kwetsbaarheid heeft een impactscore van 9.8 op een schaal van 10. De ontwikkelaars brachten op 29 oktober een update uit. Volgens Wordfence maken aanvallers sinds 1 november gebruik van het lek. Data van WordPress.org tonen dat tweehonderdduizend sites de update nog niet hebben toegepast.