Mais de 200.000 websites que utilizam o sistema WordPress estão atualmente em risco devido a uma vulnerabilidade crítica no popular plugin Post SMTP. A falha de segurança, se explorada, pode permitir que atacantes assumam o controlo total de uma conta de administrador.
O que é o Post SMTP e qual o problema?
O Post SMTP é um plugin bastante conhecido, com mais de 400.000 instalações ativas, que funciona como um substituto mais fiável e robusto para a função de envio de email padrão do WordPress. No entanto, uma falha grave foi descoberta e reportada no dia 23 de maio por um investigador de segurança à empresa PatchStack.
Identificada como CVE-2025-24000 e com uma classificação de severidade de 8.8 (considerada elevada), a falha afeta todas as versões do Post SMTP até à 3.2.0. O problema reside num mecanismo de controlo de acesso deficiente nos pontos de acesso da API do plugin, que apenas verificava se um utilizador tinha a sessão iniciada, ignorando por completo o seu nível de permissão.
Como a vulnerabilidade pode ser explorada
Esta lacuna de segurança significa que utilizadores com poucos privilégios, como um simples "Subscritor", podiam aceder aos registos de email, que contêm o conteúdo completo das mensagens enviadas através do site.
O cenário de ataque é alarmante e relativamente simples: um subscritor mal-intencionado poderia iniciar um processo de reposição de palavra-passe para a conta de um administrador. De seguida, através do acesso indevido aos logs de email, conseguiria intercetar a mensagem de reposição e, com isso, obter o link para definir uma nova palavra-passe e assumir o controlo da conta com os privilégios mais elevados do site.
A solução já existe, mas muitos continuam vulneráveis
O programador do plugin, Saad Iqbal, foi prontamente informado sobre a vulnerabilidade e desenvolveu uma correção, que foi enviada para revisão a 26 de maio. A solução passou por integrar verificações de privilégios adicionais na função get_logs_permission, garantindo que apenas utilizadores autorizados pudessem aceder a chamadas sensíveis da API.
Esta correção foi incorporada na versão 3.3.0 do Post SMTP, lançada publicamente a 11 de junho.
Apesar da solução estar disponível, as estatísticas de download no portal oficial WordPress.org mostram um cenário preocupante. Menos de metade da base de utilizadores (48,5%) atualizou o plugin para a versão segura. Isto significa que mais de 200.000 websites continuam expostos à vulnerabilidade CVE-2025-24000.
Adicionalmente, um número notável de 24,2% dos sites (cerca de 96.800) ainda utiliza versões da série 2.x do plugin, que, para além desta, contêm outras falhas de segurança conhecidas, deixando-os ainda mais desprotegidos. A recomendação é clara e urgente: todos os administradores de sites WordPress que utilizem o Post SMTP devem verificar a sua versão e atualizar para a 3.3.0 ou superior imediatamente.
Nenhum comentário
Seja o primeiro!