WordPressCibersegurançaNotícias

Alerta crítico: falha no plugin “Post SMTP” do WordPress permite roubo de conta admin; atualize já

Alerta crítico: falha no plugin Post SMTP do WordPress permite que qualquer atacante tome a conta de administrador sem senha – atualize agora.

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
wordpress post smtp vulnerability falha critica plugin post smtp

Se você usa WordPress, pare um minuto e verifique seus plugins agora. A equipe de segurança da Wordfence emitiu um alerta crítico sobre a vulnerabilidade CVE-2025-11833 no popular plugin Post SMTP, com mais de 400.000 instalações ativas. Estamos falando de uma falha crítica (CVSS 9.8) que permite que qualquer atacante, sem login, tome o controle total do seu site – começando pela conta de administrador.

Em linguagem direta: se o seu site usa Post SMTP e ainda não foi atualizado para a versão 3.6.1, ele está com a porta escancarada.

O que está em risco com a WordPress Post SMTP vulnerability

O plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App existe para resolver um problema clássico: garantir que os e-mails do seu site sejam entregues (contato, notificações, reset de senha, etc.) por SMTP, em vez da função PHP mail padrão. Ele também mantém logs de e-mail, o que é útil para depuração.

O problema? Essa função de log virou uma espécie de “diário secreto” onde estão guardados todos os e-mails enviados pelo site – inclusive e-mails de redefinição de senha com links sensíveis.

Agora entra a analogia da “chave debaixo do tapete”:
o Post SMTP deveria guardar esses logs atrás de um cadeado. Mas, por causa de um bug de Missing Authorization / Missing Capability Check, a página que exibe o conteúdo do log ficou sem verificação de permissão nenhuma. Resultado: qualquer pessoa que saiba o endereço certo consegue abrir esse “diário”, ler os e-mails e pegar a “chave mestra” — o link de reset de senha.

Como o ataque de “Account Takeover” funciona na prática

A parte mais assustadora dessa WordPress Post SMTP vulnerability é o quão simples é explorá-la. O fluxo é praticamente um roteiro:

  1. O atacante acessa a página de login do seu WordPress e solicita uma redefinição de senha para a conta admin (ou qualquer outra conta com privilégios altos).
  2. O WordPress envia o e-mail de redefinição normalmente.
  3. O plugin Post SMTP registra esse e-mail nos seus logs – com o link completo de redefinição de senha.
  4. Por causa do bug de Missing Authorization, o atacante consegue acessar a página que exibe o conteúdo desses logs sem estar autenticado.
  5. Ele abre o log correspondente, copia o link de redefinição, clica, define uma nova senha… e pronto: Account Takeover completo, com acesso de administrador.

A partir daí, o estrago é total. Com acesso admin, o invasor pode:

  • Instalar plugins ou temas maliciosos com backdoors.
  • Alterar posts e páginas para redirecionar usuários para phishing ou malware.
  • Criar novos usuários administradores para manter acesso mesmo depois de um reset de senha.
  • Modificar integrações (por exemplo, chaves de API) e comprometer ainda mais o ambiente.

Por que essa vulnerabilidade é tão crítica (CVSS 9.8)

Tecnicamente, estamos falando de uma falha de Missing Authorization (CWE-862) no construtor responsável por exibir o log de e-mails (__construct da classe de logs), em todas as versões até a 3.6.0. Não há checagem de capacidade, não há verificação de papel de usuário — nada.

Isso dá à CVE-2025-11833 um combo explosivo:

  • Ataque remoto pela internet (vetor de rede).
  • Nenhuma autenticação exigida (PR:N).
  • Nenhuma interação do usuário (UI:N).
  • Impacto alto em confidencialidade, integridade e disponibilidade. (nvd.nist.gov)

Daí o score CVSS 9.8 – crítica. Em outras palavras: é o tipo de bug que transforma qualquer site com esse plugin em alvo preferencial de varreduras automatizadas.

Atualize imediatamente: ataques já estão ocorrendo

Isso não é teoria de laboratório. A própria Wordfence confirmou que campanhas de exploração já começaram, com mais de 4.500 ataques bloqueados tentando explorar essa brecha desde o início de novembro de 2025. A expectativa deles é clara: essa campanha deve ganhar volume rapidamente, à medida que mais botnets adicionarem o exploit aos seus scans de rotina.

Do lado da defesa, a linha do tempo é a seguinte:

  • A vulnerabilidade foi reportada à Wordfence em 11 de outubro de 2025.
  • Regras de firewall para Wordfence Premium, Care e Response foram liberadas em 15 de outubro de 2025.
  • O vendor (WP Experts) lançou a versão corrigida, 3.6.1, em 29 de outubro de 2025.

Mesmo se você usa um firewall como o da Wordfence, a orientação continua a mesma: é obrigatório atualizar o plugin. Firewall reduz risco de exploração, mas não corrige o bug na origem.

O que fazer agora (checklist rápido para administradores)

Se você é dono de site, dev, agência ou gestor de múltiplos WordPress, trate isso como um incidente de prioridade máxima:

  1. Verifique se o Post SMTP está instalado
    No painel, vá em Plugins → Plugins instalados e procure por Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App.
  2. Confirme a versão do plugin
    Se estiver em 3.6.0 ou anterior, você está vulnerável. As versões afetadas são todas até 3.6.0 (inclusive). (nvd.nist.gov)
  3. Atualize imediatamente para a versão 3.6.1
    Use o atualizador padrão do WordPress ou faça o upload manual da versão corrigida. Essa é, hoje, a única solução definitiva para a WordPress Post SMTP vulnerability.
  4. Procure sinais de comprometimento
    • Verifique se há novos usuários administradores desconhecidos.
    • Revise plugins e temas instalados recentemente.
    • Cheque redirecionamentos estranhos em páginas com alto tráfego.
  5. Reforce sua postura de segurança
    • Habilite 2FA para contas administrativas.
    • Limite quem pode instalar plugins/temas.
    • Evite plugins que armazenem dados sensíveis em logs acessíveis do front-end.

Lição para o ecossistema WordPress

Esse caso é um lembrete duro para o ecossistema WordPress: logs não são inocentes. Quando um plugin registra e-mails, tokens, links de reset ou qualquer dado sensível sem um controle rigoroso de acesso, ele está, na prática, montando uma bomba-relógio de segurança.

A CVE-2025-11833 mostra como uma “simples” falha de Missing Authorization pode escalar para um Account Takeover completo – e como um único plugin, presente em centenas de milhares de sites, pode se tornar um vetor massivo de ataque.

Se você usa o plugin Post SMTP, trate este alerta como um “incêndio em andamento”: atualize agora para a versão 3.6.1 e, se possível, revise sua pilha de plugins com um olhar mais desconfiado.

TAGS:
FONTE:Boletim oficial da WordfenceNVD (CVE-2025-11833)
Compartilhe este artigo
Nenhum comentário
ArtigosTecnologia

Magic Data Recovery: Recupere Arquivos Perdidos com Facilidade e Proteja Seus Dados

JAnzd9IA magic data recovery recuperar arquivos apagados

Um guia simples para recuperar arquivos apagados com o Magic Data Recovery em poucos cliques.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto