Redazione RHC : 28 julio 2025 15:50
Más de 200.000 sitios de WordPress son vulnerables a una falla crítica en el popular plugin Post SMTP, lo que permite a los atacantes obtener el control total de la cuenta de administrador. La vulnerabilidad se ha identificado como CVE-2025-24000 y afecta a todas las versiones del plugin hasta la 3.2.0 inclusive. Al momento de la publicación, la corrección se había instalado en menos de la mitad de los sistemas que utilizan este componente.
Post SMTP es una herramienta para enviar correos electrónicos de forma segura desde sitios de WordPress, que reemplaza la función integrada wp_mail()». Más de 400 000 instalaciones la convierten en una de las soluciones más populares de su categoría. Sin embargo, en mayo de 2025, los especialistas de PatchStack recibieron un informe que indicaba que la API REST del plugin tenía una lógica de control de acceso incorrecta. En lugar de verificar los derechos de los usuarios, el sistema se limitaba únicamente a la autorización, permitiendo incluso a visitantes con pocos privilegios, como los suscriptores, acceder a datos protegidos.
En particular, un suscriptor podía solicitar el restablecimiento de la contraseña de administrador e interceptar el correo electrónico correspondiente a través de los registros de correo electrónico, cuyo acceso no estaba restringido. Esto creó una vulnerabilidad para tomar el control de todo el panel de administración del sitio sin necesidad de explotar vulnerabilidades de terceros ni acceder físicamente al servidor.
El problema se reportó al desarrollador Saad Iqbal el 23 de mayo. Tres días después, proporcionó una implementación actualizada de la función get_logs_permission, que implementó una verificación completa de los derechos de usuario antes de acceder a la API. La versión corregida, 3.3.0, se lanzó el 11 de junio.
A pesar de la actualización, las estadísticas de WordPress.org muestran una situación alarmante: más del 51 % de los sitios web aún utilizan versiones vulnerables. La situación es particularmente peligrosa para los usuarios de la versión 2.x: se estima que 96.800 sitios siguen utilizando estas versiones, que contienen no solo la vulnerabilidad CVE-2025-24000, sino también otras fallas de seguridad conocidas.
El problema pone de manifiesto la vulnerabilidad sistémica del ecosistema de WordPress, donde ni siquiera las actualizaciones de seguridad más importantes se instalan de inmediato. Dada la facilidad de explotación y el uso generalizado del plugin, se espera que los ataques a recursos desprotegidos continúen y se generalicen. Para eliminar la amenaza, se requiere una actualización inmediata a la versión 3.3.0 o superior.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
