WordPressでメール送信機能を提供するプラグイン「Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App」のバージョン 3.6.0 以下のすべてのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、本来管理者権限が必要なメールログの閲覧・操作機能に、権限チェックが実装されていませんでした。その結果、サイトから送信された全メールの内容が閲覧され、ログが削除され、メールが不正に再送信される可能性があります。対策バージョン 3.6.1 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- メールログの不正閲覧
- サイトから送信された全メールの宛先、件名、本文、ヘッダー情報を閲覧される
- メールログの削除
- 全メールログを削除され、送信記録が消去される
- メールログの大量流出
- 全メールログをCSV形式で一括ダウンロードされる
- メールの不正再送信
- 過去に送信されたメールを、攻撃者が指定した任意の宛先に再送信される
技術的な詳細
この脆弱性は、以下の問題に起因します。
- ユーザー権限の確認が実装されていない
- メールログの閲覧・操作を行う6つの機能で、操作するユーザーが適切な権限を持っているかの確認が実装されていなかった
- 修正版では「管理者専用の権限」の確認が追加されている
- 影響を受ける機能(6箇所)
- メールログ一覧の取得機能 – 複数のログ情報を取得
- メールログの詳細表示機能 – 個別メールの詳細を表示
- メールログのCSVエクスポート機能 – 全ログまたは選択したログをCSV形式で出力
- メールログの削除機能 – 全ログまたは選択したログを削除
- メール本文の表示機能 – メール本文を画面に表示
- メールの再送信機能 – 記録されたメールを指定宛先に送信
- 保存されているメールログの内容
- 送信先(to_header, cc_header, bcc_header)
- 送信元(from_header, reply_to_header)
- 件名(original_subject)
- 本文(original_message)
- ヘッダー情報(original_headers)
- セッション記録(session_transcript)
- 送信時刻(time)
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新(最優先)
- プラグインを対策バージョン(3.6.1以降)に速やかに更新してください
- メールログの確認
- 機密情報を含むメールログが保存されている場合、不正アクセスの可能性を考慮した対応を検討
⇒不審なアクセスや異常な動作が確認された場合は、WordPressの専門家への相談をお勧めします。
影響を受けるバージョン
Post SMTP 3.6.0 までのすべてのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-11833 
(公開日 2025年11月1日 更新日 2025年11月3日)
脆弱性の深刻度 (CVSS v3)
基本値: 9.8 (深刻) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-11833 悪用確率 17.64% (上位5%) 2025年12月11日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Post SMTP プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
