Administradores de WordPress, desenvolvedores e profissionais de segurança digital precisam agir imediatamente. Uma falha crítica, com pontuação 9.8 no CVSS, foi descoberta no popular plugin Post SMTP e já está sendo explorada ativamente por hackers. Esta vulnerabilidade, identificada como CVE-2025-11833, afeta mais de 400.000 sites e permite que invasores não autenticados acessem logs de e-mails, capturem links de redefinição de senha e assumam o controle total de contas de administrador.
O risco é imediato. Se o seu site utiliza o Post SMTP, ele pode estar vulnerável a ataques que comprometem completamente sua plataforma. Neste artigo, vamos detalhar a natureza da falha, o modo como está sendo explorada e, o mais importante, a única ação urgente que você deve tomar para proteger seu site.
O que é o plugin Post SMTP e qual a gravidade da falha
O Post SMTP é um dos plugins mais populares do ecossistema WordPress, utilizado para garantir a entrega confiável de e-mails transacionais, substituindo a função nativa wp_mail(). Administradores o usam para enviar notificações, redefinições de senha, e-mails de marketing e mensagens críticas do sistema.
A vulnerabilidade CVE-2025-11833 é um Authorization Bypass na classe PostmanEmailLogs, permitindo que qualquer pessoa sem autenticação acesse registros de e-mails armazenados pelo plugin. A gravidade é máxima: com CVSS 9.8, a falha é fácil de explorar e o impacto é devastador, permitindo o sequestro completo de contas de administrador do site.
Como os hackers estão explorando a CVE-2025-11833
A exploração da falha é direta e perigosa. O ataque ocorre da seguinte forma:
- O invasor solicita o log de e-mails do site afetado.
- Ele procura por mensagens de redefinição de senha de contas de administrador.
- Como o log contém o corpo completo do e-mail, o link sigiloso de redefinição é obtido.
- O invasor usa o link para definir uma nova senha e assume controle total da conta de administrador.
Este processo permite que hackers comprometam completamente o site sem deixar rastros imediatos e sem necessidade de quebrar senhas.
Milhares de sites em risco: Exploração ativa confirmada
A vulnerabilidade foi reportada pelo pesquisador ‘netranger’ à Wordfence em 11 de outubro. A empresa confirmou que ataques ativos começaram em 1º de novembro. Desde então, mais de 4.500 tentativas de exploração foram detectadas e bloqueadas, evidenciando um ataque em massa e direcionado a sites vulneráveis.
Com tantos sites utilizando o Post SMTP, a probabilidade de seu site estar entre os alvos é extremamente alta.
Como proteger seu site WordPress imediatamente
A única ação correta é atualizar o plugin. O desenvolvedor Saad Iqbal lançou a versão 3.6.1 em 29 de outubro, corrigindo completamente a vulnerabilidade. Dados do WordPress.org indicam que quase metade dos usuários (cerca de 210.000 sites) ainda não atualizou, permanecendo vulneráveis.
Passos imediatos:
- Acesse o painel do seu WordPress.
- Vá em Plugins.
- Atualize o Post SMTP para a versão 3.6.1 ou superior.
Se a atualização não for possível imediatamente, desative o plugin até que a correção possa ser aplicada. A proteção do seu site depende de uma ação rápida.
Um histórico preocupante de segurança
Esta não é a primeira falha crítica do Post SMTP neste ano. Em julho, a PatchStack relatou a CVE-2025-24000, que também permitia acesso a logs de e-mail, embora de forma ligeiramente diferente. Este histórico reforça a necessidade de manter o plugin sempre atualizado e monitorar vulnerabilidades regularmente.
Conclusão: Não espere ser o próximo
A CVE-2025-11833 é uma das vulnerabilidades mais críticas do ecossistema WordPress recente, devido à popularidade do plugin Post SMTP e à facilidade de exploração, que permite controle total do site em questão de minutos.
A exploração está ocorrendo agora. Verifique seu site imediatamente e atualize para a versão 3.6.1 do Post SMTP. A segurança do seu site depende desta ação urgente, não deixe para depois.
