Wordpress Admin Account များအား hijack ပြုလုပ်နိုင်ရန်အတွက် Post SMTP plugin ကို Hacker များက exploit ပြုလုပ်လျက်ရှိ
Administrator Account များကို အပြည့်အဝ ထိန်းချုပ်ရယူပြီး hijack ပြုလုပ် နိုင်ရန်အတွက် ဆိုက်ဘာခြိမ်းခြောက်သူများသည် WordPress ဆိုက်ပေါင်း ၄၀၀,၀၀၀ ကျော်တွင် ထည့်သွင်းထားသော Post SMTP Plugin ရှိ အလွန်အရေးကြီးသော အားနည်းချက်ကို exploit ပြုလုပ်လာကြသည်။
Post SMTP သည် ပုံမှန်အသုံးပြုလေ့ရှိသည့် ‘wp_mail()’ function အစား ဈေးကွက်တွင် ပို၍ယုံကြည်ရပြီး Feature အစုံပါဝင်သော လူသုံးများသည့် Email Delivery Solution တစ်ခုဖြစ်သည်။
အောက်တိုဘာလ ၁၁ ရက်နေ့တွင် WordPress လုံခြုံရေးကုမ္ပဏီ “Wordfence” ၏ သုတေသီ “netranger” မှ ပေးပို့သော အကောင့်လွှဲယူသည့်တိုက်ခိုက်မှု (Account Takeover Attacks) ဖြစ်စေနိုင်သည့် Email Log ထုတ်ဖော်ချက်ကိစ္စရပ် တစ်ခုနှင့် စပ်လျဉ်း၍ အစီရင်ခံစာတစ်စောင်အား လက်ခံရရှိပါသည်။
CVE-2025-11833 အဖြစ်သတ်မှတ်ထားသော ဤအားနည်းချက်သည် Severity Score 9.8 ရှိပြီး Post SMTP 3.6.0 နှင့်အောက်ရှိသည့် Version အားလုံးအပေါ် သက်ရောက်မှု ရှိသည်။
('_construct' function) plugin ၏ 'PostmanEmailLogs' flow ရှိ အားနည်းချက်တွင် Authorization Check မရှိခြင်းကြောင့် ဖြစ်ပေါ်လာသည်။
၎င်း Constructor သည် Capability Check ပြုလုပ်ခြင်းမရှိဘဲ Email Content များအား request လုပ်သည့်အချိန်တိုင်း ထုတ်ပေးခြင်းသည် တိုက်ခိုက်သူများအနေဖြင့် Email များ ကို တရားမဝင် ဝင်ရောက်ဖတ်ရှုခွင့် ရရှိစေပါသည်။
ထို့အပြင် တရားဝင်အကောင့်ပိုင်ရှင်မလိုဘဲ Administrator ၏ Password အား ပြောင်း လဲခွင့်ပြုသည့် Password Reset စာများနှင့် link များပါဝင်ပြီး Account Takeover နှင့် Full Site Compromise ကို ဖြစ်စေပါသည်။
အောက်တိုဘာလ ၂၉ ရက်နေ့တွင် Post SMTP Version 3.6.1 နှင့်စပ်လျဉ်းသည့် Patch တစ်ခုအား ထုတ်ပြန်ခဲ့သော်လည်း WordPress.org ၏အချက်အလက်များအရ အကြမ်း ဖျင်း Plugin’s User များ၏ ထက်ဝက်ခန့်သာ Download ပြုလုပ်ကြသဖြင့် အနည်းဆုံး Site ပေါင်း ၂၁၀,၀၀၀ သည် Admin Takeover Attack များ တိုက်ခိုက်ခံနေရဆဲဖြစ်သည်။
Wordfence ၏ အဆိုအရ နိုဝင်ဘာလ ၁ ရက်နေ့ကတည်းက Hacker များသည် CVE-2025-11833 ကို စတင် Exploit ပြုလုပ်နေကြပြီး ထိုအချိန်မှစ၍ လုံခြုံရေးကုမ္ပဏီသည် ၎င်း၏ Customer များအပေါ် Exploit ပြုလုပ်ရန် ကြိုးပမ်းမှုအကြိမ်ပေါင်း ၄,၅၀၀ ကျော် ကို တားဆီးခဲ့သည်။
ထို့ကြောင့် Post SMTP ကိုအသုံးပြုထားသော Website ပိုင်ရှင်များသည် Version 3.6.1 သို့ ချက်ချင်းပြောင်းရန် သို့မဟုတ် Plugin ကို Disable ပြုလုပ်ရန် အကြံပြုထားသည်။
Subscriber Level မှ Message ပါအကြောင်းအရာများ အပြည့်အစုံ ပါဝင်နေသော Email Log များအား Hacker များမှ ဝင်ရောက်ရယူခွင့်ရှိသော Post SMTP ၏အားနည်းချက် တစ်ခုအား PatchStack မှ ဇူလိုင်လအတွင်းက ထုတ်ဖော် ပြောကြားခဲ့သည်။
CVE-2025-24000 အဖြစ်သတ်မှတ်ထားသည့် ဤ အားနည်းချက်သည် CVE-2025-11833 ကဲ့သို့ အလားတူ အကျိုးဆက်များရှိပြီး အခွင့်မရှိသော User များမှ Password Reset ပြုလုပ်ခြင်း၊ Message များအား ကြားဖြတ်ရယူခြင်းနှင့် Administrator Account များအား ထိန်းချုပ်ခြင်းများ ဆောင်ရွက်နိုင်ပါသည်။
Reflectiz သုတေသီ Ysrael Gurt က ဤအားနည်းချက်ကို ပြင်ဆင်ထားမှုများသည် ၎င်းမှ ဖြစ်ပေါ်လာသော အန္တရာယ်များကို ဖြေရှင်းပေးနိုင်ခြင်းမရှိကြောင်း Bleeping Computer သို့ ပြောကြားခဲ့သည်။
“မိမိ၏ စုံစမ်းစစ်ဆေးချက်အရ အားနည်းချက်ကြောင့် Email Log များအား အလွယ်တကူ ဝင်ရောက်ရယူနိုင်ပြီး Log ID သည် အလိုအလျောက်တိုးသည့် နံပါတ်ဖြစ်သည့်အတွက် တိုက်ခိုက်သူသည် အလွန်အရေးကြီးသည့် Email များအား ခန့်မှန်းနိုင်ပြီး ဝင်ရောက်ဖတ်ရှု ရန် လွယ်ကူနိုင်ပါသည်”ဟု Gurt မှ ရှင်းလင်းပြောကြားသည်။
ဤကိစ္စရပ်ပြေလည်ပြီးသည့်အချိန်တွင်ပင် Password Reset Email များအား Log များ တွင် ဆက်လက်သိမ်းဆည်းနေပြီး Low Privilege User များက ဝင်ရောက် ရယူခွင့်ရှိနေဆဲ ဖြစ်သည်။ ဆိုလိုသည်မှာ Log များအား ဝင်ရောက်ကြည့်ရှုခွင့်ရရှိသော မည်သူမဆို User တိုင်း၏ Password အား Reset ပြုလုပ်ခွင့်ရှိနေဆဲဖြစ်သည်။ ပို၍လုံခြုံစိတ်ချရသည့် နည်းလမ်းမှာ အဆိုပါ Reset Email များအား ရှင်းလင်းခြင်းဖြစ်ပြီး ၎င်းတို့သည် အရေးကြီး သော Email Address များအား ကာကွယ်ပြီးသားကဲ့သို့ပင်ဖြစ်သည်။
bleepingcomputer.com ၏ Hackers exploit WordPress plugin Post SMTP to hijack admin accounts သတင်းဆောင်းပါးအား ဆီလျော်အောင်ဘာသာပြန်သည်။