Mais de 400.000 sites WordPress estão em risco elevado. Uma vulnerabilidade crítica foi descoberta no popular plugin Post SMTP, e os atacantes já a estão a explorar ativamente. A falha permite que hackers tomem o controlo total de contas de administrador, comprometendo assim a integridade de todo o site.
O perigo está nos logs de email
O Post SMTP é uma solução frequentemente utilizada para substituir a função de email padrão do WordPress, garantindo uma entrega de mensagens mais fiável. No entanto, a vulnerabilidade (identificada como CVE-2025-11833 e com uma pontuação crítica de 9.8) reside numa grave falta de verificações de autorização.
Na prática, um atacante, mesmo sem estar autenticado, pode aceder aos logs de email que são guardados pelo plugin. O vetor de ataque é assustadoramente simples: o hacker solicita uma redefinição de password para uma conta de administrador e, de seguida, usa a falha para ler esse email, obtendo o link necessário para definir uma nova password e assumir o controlo total do site.
Exploração ativa e atualização urgente
A falha foi descoberta pelo investigador 'netranger' e reportada à equipa da Wordfence a 11 de outubro. Após a validação, o criador do plugin, Saad Iqbal, agiu rapidamente e lançou uma correção (versão 3.6.1) a 29 de outubro.
O problema é que, segundo dados do WordPress.org, apenas metade dos utilizadores atualizou o plugin. Isto deixa, no mínimo, 210.000 sites vulneráveis. A Wordfence alerta que a exploração ativa desta falha começou a 1 de novembro e que a empresa já bloqueou mais de 4.500 tentativas de ataque nos sites dos seus clientes.
Uma correção que pode não ser suficiente
Para agravar a situação, Ysrael Gurt, um investigador da Reflectiz, afirma que a correção pode não ser totalmente eficaz. Embora a falha de acesso não autenticado pareça estar resolvida, os emails de reset de password continuam a ser armazenados nos logs.
Gurt explica que os IDs dos logs são numéricos e auto-incrementados, tornando fácil para um atacante adivinhar o ID seguinte. Isto significa que utilizadores com privilégios baixos (como um simples assinante) podem, potencialmente, ainda conseguir aceder a esses emails sensíveis e tomar controlo de contas de administrador.
Esta não é a primeira vez que o Post SMTP enfrenta este problema; em julho, a PatchStack revelou uma falha semelhante (CVE-2025-24000). Se utiliza o Post SMTP (versões 3.6.0 ou anteriores), a recomendação é clara: atualize imediatamente para a versão 3.6.1 ou, se não for possível, desative o plugin para garantir a segurança do seu site.
Nenhum comentário
Seja o primeiro!