… em risco! Se existe uma regra fundamental na proteção de sistemas, está na manutenção exclusiva dos softwares que são considerados essenciais para o seu uso, descartando quaisquer outros que sejam desnecessários. E isto também vale para os gerenciadores de conteúdos (CMS), destacando-se o poderoso WordPress, em vista da sua liderança no mercado. Através de plugins, podemos adicionar uma série de funcionalidades extras no CMS, sem a necessidade de escrever códigos para isto. Porém, estes plugins também podem trazer riscos para a segurança…
“A critical vulnerability has been discovered in the Post SMTP WordPress plugin, affecting over 400,000 active installations across the web. The vulnerability, identified as CVE-2025-11833 with a CVSS score of 9.8, allows unauthenticated attackers to access sensitive email logs and execute account takeover attacks on vulnerable WordPress sites. Researchers have already documented over 4,500 exploitation attempts since November 1st, 2025, signaling an active and growing threat campaign.”
— by GBHackers.
Infelizmente, este é o caso do popular plugin “Post SMTP”, que está ativo em +400.000 sites. Uma vulnerabilidade crítica (CVE-2025-11833) foi descoberta e a falha em questão, foi classificada com uma pontuação CVSS de 9.8 (crítica), a qual permite que os invasores não autenticados acessem os logs de e-mail confidenciais. Isso representa um risco severo de segurança, pois pode levar a uma tomada de controle total da conta de administrador. A ameaça está ativa, com mais de 4.500 tentativas de exploração já registradas por pesquisadores de segurança.
O método de ataque explora uma falha de autorização na versão 3.6.0 e anteriores do plugin. Essencialmente, o plugin não verifica adequadamente as permissões do usuário ao exibir os logs de e-mail. Um invasor pode explorar esta falha, solicitando uma redefinição de senha para uma conta de administrador e, em seguida, acessar os logs de e-mail (que estão publicamente expostos devido à falha) para interceptar o link de redefinição de senha. Com esse link, o invasor pode obter acesso administrativo completo ao site.
Em resposta a essa descoberta, o fornecedor o plugin lançou uma correção ainda no mês passado (29/out) e a versão 3.6.1 corrige a vulnerabilidade de bypass de autorização. Administradores de sites WordPress que utilizam este plugin são veementemente aconselhados a atualizar para a versão 3.6.1 ou mais recente imediatamente. Dada a gravidade da falha e a exploração ativa documentada, a atualização é uma prioridade urgente para evitar o comprometimento do site.
Este é um dos motivos pelos quais, utilizo o mínimo possível de plugins! Pois além dos riscos provenientes de falhas e vulnerabilidades nestes software, ainda temos que levar em consideração o fato de que muitos deles acabam sendo deixados de lado ou ainda, as versões atuais se tornem incompatíveis (mesmo que por um curto espaço de tempo) com as últimas atualizações do WordPress (e vice-versa). Mas infelizmente, conheço alguns colegas que mantém sites e portais que apesar de belos e funcionais, possuem “toneladas” de plugins.
Para se ter uma idéia do quanto paranóico eu sou, só uso 3 plugins… &;-D