Mais de 200 mil sites WordPress estão vulneráveis a ataques de tomada de controle de contas de administrador devido a uma falha crítica no plugin Post SMTP. Utilizado por cerca de 400 mil sites, o plugin é amplamente adotado para o envio de e-mails, substituindo o sistema padrão da plataforma com funções mais robustas. A vulnerabilidade foi descoberta em maio de 2025 e registrada como CVE 2025 24000. Ela afeta todas as versões do plugin até a 3.2.0 e é causada por uma falha no sistema de controle de acesso da API.
Na prática, qualquer usuário logado, mesmo com permissões mínimas, poderia acessar informações sensíveis sem a devida autorização. O problema mais grave envolve o acesso aos registros de e-mails enviados pelo site. Isso permitia que usuários com permissões básicas visualizassem mensagens com links de redefinição de senha, o que poderia ser usado para assumir o controle de contas administrativas. A falha foi relatada à empresa de segurança digital Patchstack, que alertou o desenvolvedor do plugin, Saad Iqbal. Uma correção foi criada e validada rapidamente, sendo disponibilizada na atualização 3.3.0, lançada em 11 de junho. No entanto, dados da plataforma WordPress mostram que menos da metade dos usuários do plugin fizeram a atualização até o momento.
Isso significa que mais de 200 mil sites continuam expostos ao risco, incluindo cerca de 96 mil que ainda utilizam versões antigas da linha 2.x, vulneráveis a outros problemas de segurança. Sites com áreas de cadastro abertas, como lojas virtuais e fóruns, estão entre os mais ameaçados, já que qualquer usuário que crie uma conta poderia explorar a falha. O ataque exige pouco conhecimento técnico e pode ser realizado com facilidade por agentes mal-intencionados. Especialistas em segurança recomendam que todos os administradores atualizem imediatamente o Post SMTP para a versão mais recente e verifiquem os registros de atividades recentes.
