Se ha descubierto una vulnerabilidad de severidad crítica en el complemento Post SMTP para WordPress. Un actor malicioso sin autenticación podría secuestrar cuentas de administrador y comprometer completamente sitios web.
Productos afectados
- Post SMTP: versiones hasta 3.6.0.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-11833: con una puntuación de 9.8 en CVSS v3.1. Existe una falta de verificación de autorización en la función __construct de la clase PostmanEmailLogs. Un actor malicioso sin necesidad de autenticación podría acceder a registros arbitrarios de correos electrónicos enviados a través del plugin Post SMTP, incluyendo mensajes de restablecimiento de contraseña que contienen enlaces para cambiar la contraseña del administrador, lo que podría permitir el secuestro completo de la cuenta y compromiso total del sitio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-11833
- https://www.wordfence.com/blog/2025/11/400000-wordpress-sites-affected-by-account-takeover-vulnerability-in-post-smtp-wordpress-plugin/