Redazione RHC : 28 Luglio 2025 15:24
Oltre 200.000 siti WordPress sono vulnerabili a causa di un errore critico nel popolare plugin Post SMTP , che consente agli aggressori di ottenere il pieno controllo dell’account amministratore. Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-24000 e interessa tutte le versioni del plugin fino alla 3.2.0 inclusa. Al momento della pubblicazione, la correzione è stata installata su meno della metà dei sistemi che utilizzano questo componente.
Post SMTP è uno strumento per l’invio sicuro di email da siti WordPress, che sostituisce la funzione integrata wp_mail(). Oltre 400.000 installazioni lo rendono una delle soluzioni più popolari nella sua categoria. Tuttavia, a maggio 2025, gli specialisti di PatchStack hanno ricevuto una segnalazione secondo cui la REST API del plugin presentava una logica di controllo degli accessi errata. Invece di verificare i diritti degli utenti, il sistema si limitava al solo controllo dell’autorizzazione, consentendo anche ai visitatori con privilegi bassi, come gli abbonati, di accedere ai dati protetti.
In particolare, un abbonato poteva avviare la reimpostazione della password di amministratore e intercettare l’email corrispondente tramite i log delle email, il cui accesso non era limitato. Ciò creava una scappatoia per assumere il controllo dell’intero pannello amministrativo del sito senza la necessità di sfruttare vulnerabilità di terze parti o di accedere fisicamente al server.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il problema è stato segnalato allo sviluppatore Saad Iqbal il 23 maggio. Tre giorni dopo, ha fornito un’implementazione aggiornata della funzione get_logs_permission, che implementava un controllo completo dei diritti utente prima di accedere all’API. La versione con la correzione, la 3.3.0, è stata pubblicata l’11 giugno.
Nonostante l’aggiornamento, le statistiche di WordPress.org mostrano una situazione allarmante: oltre il 51% dei siti utilizza ancora versioni vulnerabili. La situazione è particolarmente pericolosa per gli utenti della versione 2.x: secondo una stima, circa 96.800 siti continuano a utilizzare queste versioni, che contengono non solo la vulnerabilità CVE-2025-24000, ma anche altre falle di sicurezza note.
Il problema evidenzia la vulnerabilità sistemica dell’ecosistema WordPress, dove anche gli aggiornamenti di sicurezza più importanti non vengono installati immediatamente. Data la facilità di sfruttamento e l’uso diffuso del plugin, è prevedibile che gli attacchi a risorse non protette continueranno e diventeranno più diffusi. L’eliminazione della minaccia richiede un aggiornamento immediato alla versione 3.3.0 o superiore.
RedazioneIl servizio di pagamento Checkout.com è stato vittima di un tentativo di estorsione: il gruppo ShinyHunters ha affermato di aver avuto accesso a dati aziendali e ha chiesto un riscatto. Un’indagine...
I XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza art...
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo n...
Molti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
