Se ha descubierto una vulnerabilidad crítica en el plugin Post SMTP para WordPress, que afecta a más de 400,000 sitios web y permite a atacantes no autenticados obtener acceso a registros de correos electrónicos con información sensible para restablecer contraseñas, posibilitando la toma de control de cuentas administrativas y sitios completos. La falla se debe a la falta de una verificación de autorización en la funcionalidad principal del plugin, exponiendo datos críticos sin requerir credenciales.
CVE y severidad
| CVE ID | CVSS | Severidad | Tipo de vulnerabilidad | Estado de explotación |
|---|---|---|---|---|
| CVE-2025-11833 | 9.8 (Crítica) | Crítica | Falta de autorización para toma de control mediante filtración no autenticada de email logs | Activa (más de 4,500 intentos bloqueados desde el 1 nov 2025) |
Productos afectados
El plugin Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App en todas sus versiones hasta la 3.6.0 inclusive, afecta a más de 400,000 instalaciones activas.
Solución
Actualizar inmediatamente a la versión 3.6.1.
Recomendaciones
Se recomienda priorizar la aplicación del parche disponible para evitar explotación activa; validar la versión instalada y restringir el acceso externo a los endpoints que manejan registros de correos para mitigar riesgos adicionales.