
Accès rapide (Sommaire) :
Vulnérabilité critique dans Post SMTP (CVE-2025-11833) : risque de prise de contrôle

Une faille de sécurité importante identifiée dans le plugin Post SMTP (utilisé pour améliorer la délivrabilité des e-mails WordPress via une configuration SMTP sécurisée, versions ≤ 3.6.0) permet à un attaquant non authentifié d’accéder aux logs des e-mails générés par le plugin.
Ces logs peuvent contenir des liens de réinitialisation de mot de passe, offrant ainsi la possibilité à l’attaquant de :
Prendre le contrôle total du site WordPress concerné. Réinitialiser le mot de passe d’un compte administrateur,
Le problème a reçu le numéro CVE-2025-11833 et un score CVSS de 9.8 (critique).
Quelles versions sont concernées et où trouver le correctif ?
Versions vulnérables : Post SMTP ≤ 3.6.0.
Version corrigée : 3.6.1 (publiée fin octobre 2025).
Mettez à jour immédiatement si vous utilisez ce plugin.
Plusieurs entités de sécurité confirment l’exploitation active de la faille.
Comment l’attaque se déroule, étape par étape ?

Explication en 4 étapes simples :
- Déclenchement d’une réinitialisation : l’attaquant demande une réinitialisation de mot de passe pour l’admin (ou provoque l’envoi d’un e-mail contenant un lien).
- Accès aux logs vulnérables : faute de vérification des droits, l’attaquant peut consulter le log d’e-mail généré par Post SMTP et lire le contenu du message (ou le lien de reset).
- Utilisation du lien de réinitialisation : l’attaquant clique sur le lien et redéfinit le mot de passe administrateur.
- Post-compromission : accès admin → installation de portes dérobées, modification de contenu, redirections malveillantes, injection de PHP malveillant, exfiltration de données.
Quelles actions prioritaires (checklist) à réaliser ?
Priorisez ces étapes maintenant, chaque minute compte si votre site utilise Post SMTP :
- Vérifier la présence du plugin : dans l’admin WordPress, Plugins → cherchez “Post SMTP”. (Si absent, passez à l’étape 4.)
- Mettre à jour vers 3.6.1 : appliquez la mise à jour immédiatement. C’est la mesure la plus simple et la plus efficace.
- Scanner et vérifier : contrôlez les comptes administrateurs pour connexions suspectes et scannez le site pour backdoors (scanner de sécurité, logs d’accès, fichiers modifiés).
- Si vous ne pouvez pas mettre à jour immédiatement : désactivez / supprimez le plugin, bloquez l’accès au dossier des logs (via htaccess/nginx) et appliquez des règles WAF. Wordfence a publié un règle de firewall pour protéger ses clients rapidement.
- Changez les mots de passe critiques : après avoir patché et vérifié l’intégrité, réinitialisez les mots de passe admin, FTP, hébergeur et clés API.
- Surveillance : surveillez les journaux d’accès, ajoutez une MFA pour les comptes administrateurs, et activez des alertes d’intégrité de fichiers.
Une menace critique pour les utilisateurs de Post SMTP

Cette vulnérabilité représente un risque majeur pour plusieurs raisons :
1. Exposition massive Le plugin Post SMTP compte plus de 400 000 installations actives, ce qui en fait une cible de choix pour des cyberattaques à grande échelle.
2. Exploitation simplifiée L’attaque ne nécessite ni authentification ni compétences techniques poussées : une fois la méthode connue, elle peut être exploitée par des acteurs malveillants peu expérimentés.
3. Conséquences en cascade Un accès administrateur compromis entraîne des impacts dévastateurs :
- Perte de confiance des utilisateurs et des clients,
- Dégradation du référencement (SEO) et risque de blacklisting,
- Fraudes et exploitation abusive des données sensibles,
- Atteinte à la réputation, pouvant entraîner une perte de clientèle.
Ce que cette faille révèle sur la sécurité des plugins WordPress
Cette faille confirme une réalité souvent sous-estimée : la principale faiblesse de WordPress vient rarement du cœur du CMS, mais de ses extensions.
Plus un plugin est populaire, plus il devient une cible privilégiée.
D’où l’importance d’un suivi rigoureux et de mises à jour immédiates.
La mise à jour doit s’accompagner d’un contrôle d’intégrité du site et d’une surveillance continue.

Principalement passionné par les nouvelles technologies, l’IA, la cybersécurité, je suis un professionnel de nature discrète qui n’aime pas trop les réseaux sociaux (je n’ai pas de comptes publics). Rédacteur indépendant pour LEPTIDIGITAL, j’interviens en priorité sur des sujets d’actualité mais aussi sur des articles de fond. Pour me contacter : [email protected]