El plugin Post SMTP para WordPress, utilizado por más de 400,000 sitios web para gestionar el envío de correos electrónicos a través de distintos proveedores, presenta una vulnerabilidad que permite la inyección de scripts maliciosos.
- CVE-2025-0521 (CVSS 7.2): Esta vulnerabilidad se debe a una sanitización insuficiente de los parámetros «from» y «subject«, lo que permite a atacantes no autenticados inyectar scripts arbitrarios en las páginas afectadas. Cuando un usuario accede a una de estas páginas, el script se ejecuta, comprometiendo la seguridad del sitio web.
Productos y versiones afectadas:
- Versiones menores o iguales a la 3.0.2 del plugin Post SMTP.
Solución:
- Actualizar a la versión 3.1.0 o superior.
Recomendaciones:
- Actualizar el complemento Post SMTP a la última versión disponible para mitigar esta falla.
- Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para prevenir ataques similares.
- Revisar periódicamente los plugins instalados en WordPress y asegurarse de que estén actualizados a sus últimas versiones seguras.
Referencias: