Plugin Post SMTP deixa centenas de milhares de sites vulneráveis

Uma falha de segurança crítica no plugin para WordPress Post SMTP está a ser explorado e já existiram mais de quatro mil tentativas de exploração. O plugin está presente em mais de 400 mil sites que, agora, estão vulneráveis a ataques de account takeover.

A vulnerabilidade (CVE-2025-11833) permite que um atacante não autenticado tenha acesso aos logs de email que contêm informação sensível para reset de password, potencialmente comprometendo as contas de administrador e, por consequência, todo o site.

O plugin Post SMTP, desenhado para substituir a função de email PHP predefinido do WordPress, inclui uma funcionalidade de login de email que, inadvertidamente, expõe informação crítica de segurança.

Desde 1 de novembro de 2025, os atacantes têm explorado esta vulnerabilidade e foram registadas mais de 4.500 tentativas de exploração que foram bloqueadas por sistemas de segurança. A utilização deste plugin em centenas de milhares de sites criou uma superfície de ataque significativa.

A vulnerabilidade foi reportada a 11 de outubro de 2025 e corrigida com a versão 3.6.1 a 29 de outubro de 2025. A falha de segurança afeta todas as versões até à versão 3.6.0.