CVE-2025-11833

Nome do Software Vulnerável e Versões Afetadas Post SMTP – Solução SMTP Completa com Logs, Alertas, SMTP de Backup e Aplicativo Móvel versões anteriores à 3.6.1

Descrição O plugin Post SMTP para WordPress possui uma falha devido à ausência de uma verificação de permissões dentro da função construct. Isso permite que atacantes não autenticados acessem e-mails registrados em log, potencialmente incluindo e-mails de redefinição de senha com links que poderiam levar à tomada de controle da conta. Aproximadamente 400.000 sites WordPress utilizando este plugin estão potencialmente afetados. Tentativas de exploração foram observadas em ambiente real, com mais de 4.500 tentativas bloqueadas pela Wordfence desde 1 de novembro de 2025. A vulnerabilidade permite que atacantes leiam quaisquer e-mails registrados em log enviados através do plugin Post SMTP. A função construct exibe diretamente o conteúdo do e-mail registrado sem realizar verificações de permissões, permitindo acesso não autorizado.

Recomendações Versões anteriores à 3.6.1 devem ser atualizadas para a versão 3.6.1 ou posterior.