Redazione RHC : 28 julio 2025 15:50
Más de 200.000 sitios de WordPress son vulnerables a una falla crítica en el popular plugin Post SMTP, lo que permite a los atacantes obtener el control total de la cuenta de administrador. La vulnerabilidad se ha identificado como CVE-2025-24000 y afecta a todas las versiones del plugin hasta la 3.2.0 inclusive. Al momento de la publicación, la corrección se había instalado en menos de la mitad de los sistemas que utilizan este componente.
Post SMTP es una herramienta para enviar correos electrónicos de forma segura desde sitios de WordPress, que reemplaza la función integrada wp_mail()». Más de 400 000 instalaciones la convierten en una de las soluciones más populares de su categoría. Sin embargo, en mayo de 2025, los especialistas de PatchStack recibieron un informe que indicaba que la API REST del plugin tenía una lógica de control de acceso incorrecta. En lugar de verificar los derechos de los usuarios, el sistema se limitaba únicamente a la autorización, permitiendo incluso a visitantes con pocos privilegios, como los suscriptores, acceder a datos protegidos.
En particular, un suscriptor podía solicitar el restablecimiento de la contraseña de administrador e interceptar el correo electrónico correspondiente a través de los registros de correo electrónico, cuyo acceso no estaba restringido. Esto creó una vulnerabilidad para tomar el control de todo el panel de administración del sitio sin necesidad de explotar vulnerabilidades de terceros ni acceder físicamente al servidor.
El problema se reportó al desarrollador Saad Iqbal el 23 de mayo. Tres días después, proporcionó una implementación actualizada de la función get_logs_permission, que implementó una verificación completa de los derechos de usuario antes de acceder a la API. La versión corregida, 3.3.0, se lanzó el 11 de junio.
A pesar de la actualización, las estadísticas de WordPress.org muestran una situación alarmante: más del 51 % de los sitios web aún utilizan versiones vulnerables. La situación es particularmente peligrosa para los usuarios de la versión 2.x: se estima que 96.800 sitios siguen utilizando estas versiones, que contienen no solo la vulnerabilidad CVE-2025-24000, sino también otras fallas de seguridad conocidas.
El problema pone de manifiesto la vulnerabilidad sistémica del ecosistema de WordPress, donde ni siquiera las actualizaciones de seguridad más importantes se instalan de inmediato. Dada la facilidad de explotación y el uso generalizado del plugin, se espera que los ataques a recursos desprotegidos continúen y se generalicen. Para eliminar la amenaza, se requiere una actualización inmediata a la versión 3.3.0 o superior.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
