Una vulnerabilità critica all’interno del plugin Post SMTP, espone oltre 160.000 siti WordPress a gravi rischi di attacco.
Un popolare plugin per WordPress, utilizzato da centinaia di migliaia di siti web, ha recentemente esposto oltre 160.000 installazioni attive a un pericoloso rischio di presa di controllo da parte di hacker. Si tratta del plugin Post SMTP, noto per migliorare il sistema di invio email di WordPress utilizzando un’autenticazione SMTP sicura.
WordPress: bug che consente di rubare l’account admin
Secondo i ricercatori di sicurezza di PatchStack, il problema è legato a una vulnerabilità nell’endpoint REST API del plugin. In pratica, il sistema non verificava correttamente i privilegi dell’utente autenticato: bastava essere loggati per accedere a funzioni riservate all’amministratore, come la visualizzazione completa dei log delle email.
Questa falla consentiva a utenti con privilegi limitati di avviare una richiesta di reset della password dell’account admin, leggere l’email contenente il link di reset, e quindi ottenere l’accesso completo al sito, assumendo il controllo totale della piattaforma.
Il bug è stato identificato il 23 maggio 2025 e tracciato ufficialmente con la sigla CVE-2025-24000, assegnandogli un punteggio di gravità pari a 8.8 su 10, considerato quindi ad alto rischio.
Meta: lancio smartwatch con fotocamera a settembre
Quanti siti sono ancora vulnerabili?
Post SMTP conta oltre 400.000 installazioni attive, ma solo il 59,8% degli utenti ha aggiornato alla versione 3.1 o successiva. Questo significa che il 40,2% dei siti – ovvero circa 160.000 – sono ancora vulnerabili alla falla.
La patch risolutiva è stata pubblicata con la versione 3.3.0 il giorno 11 giugno 2025, ma molti amministratori non hanno ancora aggiornato, mettendo inconsapevolmente il proprio sito (e i dati degli utenti) a rischio.
La solita debolezza: plugin e temi non aggiornati su WordPress
WordPress, pur essendo una piattaforma molto sicura, diventa vulnerabile quando vengono utilizzati plugin o temi obsoleti o poco mantenuti. I criminali informatici, infatti, puntano proprio su questi elementi per scavalcare la sicurezza nativa del CMS e ottenere accesso ai dati sensibili o prendere il controllo dell’intero sito.
Per questo motivo, gli esperti di sicurezza consigliano di:
- Usare solo plugin e temi essenziali.
- Scaricare estensioni solo da fonti ufficiali o affidabili.
- Effettuare aggiornamenti regolari.
- Abilitare sistemi di backup e monitoraggio continuo.
Chi utilizza Post SMTP dovrebbe aggiornare immediatamente alla versione 3.3.0 o successiva, disponibile gratuitamente sul repository ufficiale di WordPress, per evitare qualsiasi rischio di compromissione del proprio sito.
[fonte]