Redazione RHC : 28 julio 2025 15:50
Más de 200.000 sitios de WordPress son vulnerables a una falla crítica en el popular plugin Post SMTP, lo que permite a los atacantes obtener el control total de la cuenta de administrador. La vulnerabilidad se ha identificado como CVE-2025-24000 y afecta a todas las versiones del plugin hasta la 3.2.0 inclusive. Al momento de la publicación, la corrección se había instalado en menos de la mitad de los sistemas que utilizan este componente.
Post SMTP es una herramienta para enviar correos electrónicos de forma segura desde sitios de WordPress, que reemplaza la función integrada wp_mail()». Más de 400 000 instalaciones la convierten en una de las soluciones más populares de su categoría. Sin embargo, en mayo de 2025, los especialistas de PatchStack recibieron un informe que indicaba que la API REST del plugin tenía una lógica de control de acceso incorrecta. En lugar de verificar los derechos de los usuarios, el sistema se limitaba únicamente a la autorización, permitiendo incluso a visitantes con pocos privilegios, como los suscriptores, acceder a datos protegidos.
En particular, un suscriptor podía solicitar el restablecimiento de la contraseña de administrador e interceptar el correo electrónico correspondiente a través de los registros de correo electrónico, cuyo acceso no estaba restringido. Esto creó una vulnerabilidad para tomar el control de todo el panel de administración del sitio sin necesidad de explotar vulnerabilidades de terceros ni acceder físicamente al servidor.
El problema se reportó al desarrollador Saad Iqbal el 23 de mayo. Tres días después, proporcionó una implementación actualizada de la función get_logs_permission, que implementó una verificación completa de los derechos de usuario antes de acceder a la API. La versión corregida, 3.3.0, se lanzó el 11 de junio.
A pesar de la actualización, las estadísticas de WordPress.org muestran una situación alarmante: más del 51 % de los sitios web aún utilizan versiones vulnerables. La situación es particularmente peligrosa para los usuarios de la versión 2.x: se estima que 96.800 sitios siguen utilizando estas versiones, que contienen no solo la vulnerabilidad CVE-2025-24000, sino también otras fallas de seguridad conocidas.
El problema pone de manifiesto la vulnerabilidad sistémica del ecosistema de WordPress, donde ni siquiera las actualizaciones de seguridad más importantes se instalan de inmediato. Dada la facilidad de explotación y el uso generalizado del plugin, se espera que los ataques a recursos desprotegidos continúen y se generalicen. Para eliminar la amenaza, se requiere una actualización inmediata a la versión 3.3.0 o superior.
RedazioneLa búsqueda de la inmortalidad es una obsesión generalizada en Silicon Valley. Asimismo, la idea de perfeccionar a los niños mediante la modificación genética es otra. Sam Altman, el hombre que p...
El quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
Fortinet ha confirmado el descubrimiento de una vulnerabilidad crítica de ruta relativa (CWE-23) en dispositivos FortiWeb, identificada como CVE-2025-64446 y registrada como número IR FG-IR-25-910 ....
