Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Vulnerabilidad crítica en el plugin Post SMTP de WordPress: más de 200.000 sitios en riesgo

Redazione RHC : 28 julio 2025 15:50

Más de 200.000 sitios de WordPress son vulnerables a una falla crítica en el popular plugin Post SMTP, lo que permite a los atacantes obtener el control total de la cuenta de administrador. La vulnerabilidad se ha identificado como CVE-2025-24000 y afecta a todas las versiones del plugin hasta la 3.2.0 inclusive. Al momento de la publicación, la corrección se había instalado en menos de la mitad de los sistemas que utilizan este componente.

Post SMTP es una herramienta para enviar correos electrónicos de forma segura desde sitios de WordPress, que reemplaza la función integrada wp_mail()». Más de 400 000 instalaciones la convierten en una de las soluciones más populares de su categoría. Sin embargo, en mayo de 2025, los especialistas de PatchStack recibieron un informe que indicaba que la API REST del plugin tenía una lógica de control de acceso incorrecta. En lugar de verificar los derechos de los usuarios, el sistema se limitaba únicamente a la autorización, permitiendo incluso a visitantes con pocos privilegios, como los suscriptores, acceder a datos protegidos.

En particular, un suscriptor podía solicitar el restablecimiento de la contraseña de administrador e interceptar el correo electrónico correspondiente a través de los registros de correo electrónico, cuyo acceso no estaba restringido. Esto creó una vulnerabilidad para tomar el control de todo el panel de administración del sitio sin necesidad de explotar vulnerabilidades de terceros ni acceder físicamente al servidor.

El problema se reportó al desarrollador Saad Iqbal el 23 de mayo. Tres días después, proporcionó una implementación actualizada de la función get_logs_permission, que implementó una verificación completa de los derechos de usuario antes de acceder a la API. La versión corregida, 3.3.0, se lanzó el 11 de junio.

A pesar de la actualización, las estadísticas de WordPress.org muestran una situación alarmante: más del 51 % de los sitios web aún utilizan versiones vulnerables. La situación es particularmente peligrosa para los usuarios de la versión 2.x: se estima que 96.800 sitios siguen utilizando estas versiones, que contienen no solo la vulnerabilidad CVE-2025-24000, sino también otras fallas de seguridad conocidas.

El problema pone de manifiesto la vulnerabilidad sistémica del ecosistema de WordPress, donde ni siquiera las actualizaciones de seguridad más importantes se instalan de inmediato. Dada la facilidad de explotación y el uso generalizado del plugin, se espera que los ataques a recursos desprotegidos continúen y se generalicen. Para eliminar la amenaza, se requiere una actualización inmediata a la versión 3.3.0 o superior.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...