Ataques exploram vulnerabilidade crítica no plugin Post SMTP em mais de 400 mil sites WordPress.
A segurança de mais de 400 mil sites WordPress está ameaçada por uma vulnerabilidade crítica no plugin Post SMTP, explorada ativamente por cibercriminosos para assumir o controle total das páginas ao sequestrar contas administrativas.
O Post SMTP é uma solução popular para entrega de e-mails, reconhecida como uma alternativa mais robusta e rica em recursos em comparação à função padrão wp_mail() do WordPress.
Em 11 de outubro, a empresa de segurança Wordfence recebeu um alerta do pesquisador conhecido como netranger sobre uma falha que expõe logs de e-mails no plugin, possibilidade que pode ser explorada para ataques de takeover de contas.
Identificada como
CVE-2025-11833
, a vulnerabilidade recebeu nota crítica de severidade 9,8 e afeta todas as versões do Post SMTP iguais ou anteriores à 3.6.0.
O problema ocorre devido à ausência de verificações de autorização no construtor _construct do componente PostmanEmailLogs.
Essa função exibe diretamente o conteúdo dos e-mails registrados quando solicitada, sem checar permissões, permitindo que invasores não autenticados leiam quaisquer mensagens armazenadas.
Entre as informações vazadas estão e-mails de redefinição de senha, que contêm links capazes de alterar a senha do administrador sem a necessidade de uma conta legítima, abrindo caminho para o takeover da conta e comprometimento total do site.
A Wordfence confirmou a exploração da falha em 15 de outubro e notificou o desenvolvedor Saad Iqbal no mesmo dia.
A correção foi lançada em 29 de outubro na versão 3.6.1 do Post SMTP.
No entanto, dados do WordPress.org indicam que apenas cerca de metade dos usuários aplicaram o patch, deixando aproximadamente 210 mil sites vulneráveis.
Desde 1º de novembro, hackers passaram a explorar ativamente a
CVE-2025-11833
.
A Wordfence bloqueou mais de 4.500 tentativas de exploit contra seus clientes desde então.
Diante da ameaça em curso, os administradores que utilizam o Post SMTP devem atualizar imediatamente para a versão 3.6.1 ou desativar o plugin para evitar comprometimentos.
Vale lembrar que, em julho, a empresa PatchStack já havia revelado outra falha no Post SMTP (CVE-2025-24000) que permitia acesso a logs de e-mail mesmo para usuários com permissão mínima (nível subscriber).
Essa vulnerabilidade apresentava consequências similares, incluindo disparo indevido de resets de senha, interceptação de mensagens e takeover de contas administrativas.
O caso reforça a importância de manter plugins e sistemas sempre atualizados, especialmente em plataformas populares como o WordPress, que são alvo constante de ataques.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...