400,000 Sitios de WordPress en Peligro por Vulnerabilidad en el Plugin Post SMTP que Permite Toma de Control de Cuentas

400,000 Sitios de WordPress en Peligro por Vulnerabilidad en el Plugin Post SMTP que Permite Toma de Control de Cuentas

Vulnerabilidad Crítica en el Plugin Post SMTP: ¡Alerta para Todos los Usuarios de WordPress!

El 11 de octubre de 2025, se reportó una vulnerabilidad de toma de control de cuenta mediante divulgación de registros de correo electrónico en el plugin Post SMTP, que cuenta con más de 400,000 instalaciones activas. Esta brecha de seguridad permite a un atacante no autenticado acceder a los registros de correos electrónicos, incluyendo correos de restablecimiento de contraseñas, y cambiar la contraseña de cualquier usuario, incluso de un administrador. Esto abre la puerta a la toma de control total de la cuenta y del sitio web.

Nuestros informes indican que los atacantes han comenzado a aprovechar esta vulnerabilidad ya desde el 1 de noviembre de 2025, con más de 4,500 ataques bloqueados hasta la fecha.

Un gran reconocimiento a netranger, quien descubrió y reportó esta vulnerabilidad de manera responsable a través del Programa de Bug Bounty de Wordfence. Este descubrimiento se validó solo un día después de su aparición, y el investigador recibió una recompensa de $7,800.00. Desde Zonsai, estamos comprometidos en asegurar WordPress a través de una defensa en profundidad, invirtiendo en investigación de vulnerabilidades de calidad y colaborando con investigadores de alto nivel a través de nuestro programa.

Protección Inmediata para Usuarios de Wordfence

Los usuarios de Wordfence Premium, Wordfence Care, y Wordfence Response recibieron una regla de firewall para protegerse contra posibles exploits de esta vulnerabilidad el 15 de octubre de 2025. Los sitios que utilizan la versión gratuita de Wordfence recibirán la misma protección 30 días después, es decir, el 14 de noviembre de 2025.

Desde Zonsai, instamos a todos los usuarios a actualizar sus sitios a la última versión corregida de Post SMTP, que en el momento de esta publicación es la versión 3.6.1. La explotación activa ya ha comenzado, y esperamos que la campaña aumente en breve.

Resumen de la Vulnerabilidad

El plugin Post SMTP, que proporciona una solución SMTP completa con registros y alertas, presenta una vulnerabilidad grave debido a checks de autorización que faltan en la función __construct. Esto permite a atacantes no autenticados acceder a cualquier correo electrónico registrado, incluyendo aquellos que sirven para restablecer contraseñas.

Cuando un atacante tiene acceso a un correo de restablecimiento de contraseña, puede tomar el control total de la cuenta del administrador y manipular el sitio como desee, subiendo archivos maliciosos y redirigiendo a usuarios a sitios peligrosos.

Línea de Tiempo de Divulgación

11 de octubre de 2025: Se recibe el reporte de la vulnerabilidad en el plugin Post SMTP a través del Programa de Bug Bounty de Wordfence.
15 de octubre de 2025: Se valida el reporte y se confirma el exploit.
15 de octubre de 2025: Usuarios de Wordfence Premium reciben alertas de protección.
15 de octubre de 2025: Se envían detalles al proveedor a través del Portal de Gestión de Vulnerabilidades de Wordfence.
16 de octubre de 2025: El proveedor comienza a trabajar en una solución.
29 de octubre de 2025: Se lanza la versión corregida 3.6.1.
14 de noviembre de 2025: Usuarios de Wordfence Free recibirán la misma protección.

Conclusión

Hemos analizado la vulnerabilidad de toma de control de cuenta en el plugin Post SMTP, que afecta las versiones 3.6.0 y anteriores. Este problema permite que atacantes no autenticados tomen el control fácil de los sitios web mediante el restablecimiento de contraseñas. La vulnerabilidad ha sido completamente abordada en la versión 3.6.1 del plugin.

Recomendamos encarecidamente a todos los usuarios de WordPress que actualicen sus sitios a la última versión corregida de Post SMTP. Los datos indican que los atacantes ya están apuntando a esta vulnerabilidad y se espera que una gran campaña comience en los próximos días.

Si conoces a alguien que use este plugin en su sitio, compártelo; la seguridad es prioridad y esta vulnerabilidad representa un riesgo significativo.

Puedes consultar el artículo original aquí: https://www.wordfence.com/blog/2025/11/400000-wordpress-sites-affected-by-account-takeover-vulnerability-in-post-smtp-wordpress-plugin/

Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.

Related Posts
Candidatura Release 1 de WordPress 6.9: ¡Descubre las Novedades!

Candidatura Release 1 de WordPress 6.9: ¡Descubre las Novedades!

19/11/2025
WPML 4.8.5 – ¡Actualización con Soluciones de Errores!

WPML 4.8.5 – ¡Actualización con Soluciones de Errores!

19/11/2025
Explora emocionantes oportunidades con la API de Interactividad de WordPress

Explora emocionantes oportunidades con la API de Interactividad de WordPress

18/11/2025
Descubre ACF PRO 6.7 Beta 1: ¡Nuevas Funciones y Mejoras que No Puedes Perderte!

Descubre ACF PRO 6.7 Beta 1: ¡Nuevas Funciones y Mejoras que No Puedes Perderte!

18/11/2025
¡Se aproxima el Black Friday: Consigue Elite al precio de Pro!

¡Se aproxima el Black Friday: Consigue Elite al precio de Pro!

18/11/2025
Las Mejores Ofertas de Black Friday y Cyber Monday en WordPress para 2025

Las Mejores Ofertas de Black Friday y Cyber Monday en WordPress para 2025

17/11/2025