Los ciberdelincuentes están aprovechando activamente una vulnerabilidad crítica en el plugin Post SMTP, instalado en más de 400,000 sitios de WordPress, para tomar el control total de cuentas de administrador.

Este problema, conocido como CVE-2025-11833, ha recibido una clasificación crítica de 9.8 y afecta a todas las versiones de Post SMTP desde la 3.6.0 en adelante. Post SMTP es una popular solución de envío de correos electrónicos, considerada una alternativa más robusta a la función predeterminada «wp_mail()».

El 11 de octubre, la empresa de seguridad Wordfence fue informada por el investigador «netranger» sobre un problema relacionado con la divulgación de registros de correo electrónico, que podría ser explotado para ataques de suplantación de identidad.

La vulnerabilidad se origina en la falta de comprobaciones de autorización en la función «_construct» dentro del flujo «PostmanEmailLogs» del plugin. Este constructor revela directamente el contenido de los correos registrados al ser solicitado, sin realizar las comprobaciones de capacidad necesarias, permitiendo así que atacantes no autenticados accedan a correos registrados de forma arbitraria.

La vulnerabilidad incluye mensajes de restablecimiento de contraseña con enlaces que permiten cambiar la contraseña de administrador sin necesidad de autorización legítima, lo que puede resultar en un control total de la cuenta y en la vulneración del sitio web.

Wordfence validó la vulnerabilidad reportada el 15 de octubre y se la comunicó al proveedor, Saad Iqbal, ese mismo día. El 29 de octubre se lanzó un parche con la versión 3.6.1 de Post SMTP. Según datos de WordPress.org, aproximadamente la mitad de los usuarios del plugin han descargado la actualización, dejando al menos 210,000 sitios web aún vulnerables a ataques de toma de control de administrador.

Según Wordfence, los atacantes empezaron a explotar la vulnerabilidad CVE-2025-11833 el 1 de noviembre. Desde entonces, la empresa ha bloqueado más de 4,500 intentos de explotación en sus clientes.

Dado el estado activo de la explotación, se recomienda encarecidamente a los propietarios de sitios web que utilizan Post SMTP que actualicen a la versión 3.6.1 de inmediato o que desactiven el plugin.

En julio, PatchStack reveló que Post SMTP era vulnerable a una falla que permitía el acceso a registros de correo electrónico, incluidos los contenidos completos de los mensajes, incluso a nivel de suscriptor. Esta falla, identificada como CVE-2025-24000, tenía repercusiones similares a las de CVE-2025-11833, permitiendo a usuarios no autorizados restablecer contraseñas, interceptar mensajes y tomar el control de cuentas de administrador.

Fuente: BC


Con Información de blog.segu-info.com.ar