São Paulo — InkDesign News — Um alerta crítico para usuários do plugin Post SMTP do WordPress surgiu em 11 de junho de 2025, quando uma vulnerabilidade permitiu que usuários com permissões mínimas, como assinantes, acessassem dados sensíveis do sistema.
Incidente e vulnerabilidade
A vulnerabilidade, identificada como CVE-2025-24000, afetava versões até a 3.2.0 do plugin Post SMTP. O problema estava na forma como o plugin gerenciava as permissões de usuário em sua API REST. A verificação era insuficiente, permitindo que qualquer usuário logado, sem considerar seu papel ou capacidades, acessasse logins de e-mail e executasse ações sensíveis como reenviar mensagens. Essa falha abriu espaço para que usuários com nível de acesso menor conseguissem visualizar e até manipular informações críticas, incluindo mensagens de redefinição de senha.
Impacto e resposta
O acesso irrestrito a mensagens como a de redefinição de senha implicava um risco significativo de tomada de controle de contas administrativas. Um usuário com nível de assinante poderia, teoricamente, redefinir a senha de uma conta de administrador, colocando em risco a integridade de toda a instalação WordPress, um vetor de ataque preocupante para mais de 400 mil sites. A defesa adequada a essa vulnerabilidade foi implementada na versão 3.3.0 do plugin, onde foi aprimorada a função get_logs_permission para exigir a capacidade de gerenciar opções, restringindo assim o acesso apenas a administradores.
“Essa mudança fechou a porta para controles de acesso quebrados e eliminou a ameaça de tomada de conta.”
(“That change closed the door on the broken access controls and stopped the account takeover threat.”)— Denver Jackson, Pesquisador de Segurança, Patch Stack
Mitigações recomendadas
Para as organizações que utilizam o Post SMTP, é fundamental atualizar para a versão 3.3.0 ou superior. Além disso, recomenda-se revisar as permissões de usuário e considerar restringir o registro aberto, especialmente em sites que lidam com e-commerce ou interações comunitárias. A implementação de autenticação de dois fatores pode oferecer uma camada adicional de segurança contra exploração indevida de credenciais.
“É essencial prestar atenção às alegações de segurança e à importância de atualizações regulares no WordPress.”
(“It’s essential to pay attention to security claims and the importance of regular updates in WordPress.”)— Especialista em Segurança, Cyber Defense Team
Os riscos residuais incluem a possibilidade de exploração de outras falhas não detectadas no sistema, ressaltando a importância da adição de estratégias de segurança contínuas e robustas. Organizações devem permanecer vigilantes e atualizar suas práticas de segurança regularmente.
Fonte: (Hack Read – Segurança Cibernética)
