Das WordPress-Plug-in Post SMTP kommt auf mehr als 400.000 aktive Installationen. IT-Forscher haben darin eine Sicherheitslücke entdeckt, die nicht angemeldeten Angreifern die Übernahme von Konten und in der Folge der kompletten WordPress-Instanz ermöglichen. Es laufen seit dem Wochenende bereits Angriffe auf die Schwachstelle. Ein aktualisiertes Plug-in steht bereit.

Das meldet das auf WordPress spezialisierte IT-Sicherheitsunternehmen WordFence in einem aktuellen Blog-Beitrag. Die Schwachstelle im Plug-in Post SMTP erlaubt nicht authentifizierten Angreifern, E-Mail-Logs einzusehen, einschließlich Passwort-Reset-E-Mails. Dadurch können sie Passwörter beliebiger Nutzer ändern, einschließlich der von Administratoren. Damit können bösartige Akteure die Konten und in der Folge die komplette WordPress-Website übernehmen (CVE-2025-11833, CVSS 9.8, Risiko „kritisch„).

Schnell Updates installieren

Die Firewall-Systeme von Wordfence haben vom 1. November bis zum Montag dieser Woche bereits mehr als 4500 Angriffe auf die Schwachstelle abgewehrt, erklärt das Unternehmen. IT-Verantwortliche sollten daher sicherstellen, so schnell wie möglich auf eine fehlerkorrigierte Fassung des Plug-ins zu aktualisieren. Seit dem 29. Oktober steht die Version 3.6.1 von Post SMTP bereit, die die sicherheitsrelevanten Fehler in den verwendbaren Fassungen 3.6.0 und älter korrigiert.

Post SMTP ist ein Plug-in, das vom Anbieter bereits im Namen als „komplette SMTP-Lösung mit Logs, Alarmen, Backup, SMTP und mobiler App“ beschrieben wird. Es soll helfen, wenn Admins auf ein Problem mit dem E-Mail-Versand durch WordPress stoßen. Das ist insbesondere in einigen Hosting-Umgebungen der Fall, die keinen Mailversand über PHP-E-Mail erlauben. Laut Eintrag im WordPress-Verzeichnis kommt es auf mehr als 400.000 aktive Installationen.

WordPress-Plug-ins leiden öfter unter schwerwiegenden Sicherheitslücken, die die Kompromittierung von Konten oder gar Instanzen erlauben. Ende August hat es etwa das Plug-in Dokan Pro getroffen. Dabei handelt es sich um ein Marktplatzsystem, bei dem sich Nutzerinnen und Nutzer als Verkäufer mit einem eigenen Marktplatz-Shop registrieren können.

(dmk)

Besitzer von noch im Support befindlichen Android-Smartphones oder -Tablets sollten ihre Geräte aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Schwachstellen ausnutzen und Geräte kompromittieren.

Sicherheitsprobleme

Wie aus einer Warnmeldung hervorgeht, haben die Entwickler an diesem Patchday lediglich zwei System-Sicherheitslücken (CVE-2025-48593 „kritisch„, CVE-2025-48581 „hoch„) geschlossen. Die kritische Lücke betrifft Android 13, 14, 15 und 16. Darüber können entfernte Angreifer Schadcode auf Geräte schieben und ausführen. Dafür benötigen Angreifer Googles Beschreibung zufolge keine besonderen Rechte und sind nicht auf die Interaktion von Opfern angewiesen. Wie so ein Angriff im Detail ablaufen könnten, bleibt aber bislang unklar.

Die zweite Schwachstelle betrifft ausschließlich Android 16. An dieser Stelle können sich Angreifer höhere Nutzerrechte verschaffen. Für beide Fälle gibt es zurzeit keine Berichte zu laufenden Attacken. Besitzer von Androidgeräten sollten trotzdem dafür sorgen, dass sie die aktuellen Sicherheitsupdates installiert haben.

Geräte schützen

Die Entwickler versichern, die beiden Sicherheitslücken im Patch Level 2025-11-01 geschlossen zu haben. Das installierte Patch Level kann man in den Systemeinstellungen prüfen. Neben Google veröffentlicht unter anderem auch Samsung für ausgewählte Smartphones monatlich Sicherheitsupdates (siehe Kasten).

Im Oktober gab es zwar einen Eintrag zu neuen Android-Sicherheitspatches, doch darin wurden keine konkreten Sicherheitslücken aufgelistet. Am Patchday im September dieses Jahres haben Angreifer Lücken bereits ausgenutzt.

(des)

Mit iOS 26.1, macOS 26.1, iPadOS 26.1, watchOS 26.1, tvOS 26.1 und visionOS 26.1, die seit Montagabend bereitstehen, hat Apple auch zahlreiche Sicherheitslücken geschlossen. Neben den neuen Systemen wurden auch ältere gepatcht – allerdings nur auf dem Mac. iOS 18 und iPadOS 18 blieben zunächst gänzlich ohne Update, was Nutzer letztlich zwingt, auf iOS 26.1 und iPadOS 26.1 zu aktualisieren, um ihre Systeme abzudichten. Ob Apple ein Patchpaket für das beliebte ältere System für iPhones und iPads nachlegen wird, bleibt unklar.

iOS und iPadOS: Schnell aktualisieren

iOS 26.1 und iPadOS 26.1 enthalten 45 sicherheitsrelevante Verbesserungen, plus 16 weitere Patches, die Apple (leider) nicht näher ausführt, sondern denen nur Credits (also die Auffinder) zugeordnet wurden. Betroffen sind nahezu alle Bereiche vom Kernel über die Installationsroutine, die Account-Steuerung, die integrierten KI-Modelle und die Fotos-App bis hin zum Browser Safari mit diversen geschlossenen WebKit-Lücken.

Bereits bekannte Exploits scheint es nicht zu geben, zumindest führt Apple keine auf. Die Lücken führen potenziell zu App- und System-Abstürzen, entfleuchten Daten, dem Nachladen unerwünschter Inhalte, der Aktivierung der Gerätekamera ohne Genehmigung und einige problematische Fehler mehr – aus der Ferne ausnutzbare Bugs (Remote Exploits) nannte Apple zunächst nicht. iOS und iPadOS 18 bleiben wie erwähnt bei Versionsstand 18.7.1 aus dem vergangenen September. Ob das bedeutet, dass Apple die Pflege ganz einstellt, bleibt unklar. Das wäre unschön, da viele User, die den Liquid-Glass-Look in iOS 26 und iPadOS 26 nicht mögen, zunächst auf iOS 18 und iPadOS 18 geblieben sind. Sie nutzen derzeit unsichere Systeme.

Massives Patch-Paket für Tahoe

Die Zahl der in macOS 26.1 geschlossenen Lücken ist noch deutlich größer: Es sind sage und schreibe knapp 90 – plus ein Dutzend Bugs, bei denen Apple keine näheren Details publiziert. Mindestens eine der macOS-Lücken ist von außen ausnutzbar – in Form einer Denial-of-Service-Attacke auf die CoreAnimation-Routine. Ansonsten handelt es sich wie auf iPhone und iPad um einen bunten Strauß voller Bugs – von „A“ wie Admin Framework (Nutzerdaten können leaken) über „C“ wie CloudKit (Sandbox-Ausbruch), „N“ wie Networking (iCloud Private Relay dreht sich ab) bis hin zu „s“ wie sudo (Apps können sich sensible Daten schnappen). Auch in Safari für macOS steckten jede Menge Fehler in WebKit. Es lassen sich Abstürze auf App- und Systemebene provozieren. Datenschutzrelevant ist zudem eine Lücke in „Wo ist?“, die ein Nutzerfingerprinting ermöglicht.

Für macOS Sequoia legt Apple Update 15.7.2, für macOS Sonoma Update 14.8.2 nach. Beide korrigieren, wie bei Apple leider üblich, nicht alle in macOS 26.1 gestopften Lücken, nur wer das neueste Betriebssystem verwendet, ist vollständig sicher. Wie problematisch das ist, lässt sich schwer sagen, da unklar bleibt, wie viele der gefixten Bugs erst mit macOS 26 eingeführt wurden. Details zu den Patch-Paketen für tvOS 26.1, watchOS 26.1 und visionOS 26.1 hat Apple ebenfalls publiziert – auch hier gibt es dutzende Fixes, ein schnelles Update ist angeraten. Schließlich liefert Apple auch noch ein Browser-Einzelupdate auf Safari 26.1 für Sequoia und Sonoma aus. Entwickler bekommen zudem Xcode 26.1, das Lücken im GNU-Framework und in libd stopft (ab macOS 15.6 erhältlich).

(bsc)