Negli ultimi mesi abbiamo visto più volte le notizie riguardanti alcune vulnerabilità piuttosto gravi riferite agli strumenti interni, ma soprattutto esterni, di WordPress. Come sappiamo, ogni CMS può incappare in errori di sviluppo che danno luogo a bug di sistema, falle di sicurezza e quindi problemi piuttosto gravi ai portali sui quali vengono costruiti. La bravura degli sviluppatori, però, sta nella velocità e nell’efficacia nel mettere “una pezza” ai problemi, riportando tutto alla normalità e comunicando in modo chiaro e trasparente l’accaduto.
In questo articolo parliamo di un nuovo problema riferito ad un plugin di WordPress, e come si evince dal titolo quest’ultimo è Post SMTP, uno strumento che viene utilizzato dagli utenti del noto CMS per migliorare la cosiddetta deliverability delle email che partono dal sito web. La problematica è piuttosto grave, poiché a quanto sembra da un report diramato dal portale PatchStack, il plugin avrebbe consentito l’accesso a diverse funzioni e dati a qualsiasi utente con qualsiasi livello di autenticazione. Qualunque utente avrebbe, ad esempio, visto le statistiche degli invii, avrebbe potuto effettuare un nuovo invio delle email e soprattutto avrebbe avuto accesso ai log di quest’ultime ed all’intero corpo. Un’ultima, ma dirompente, questione è anche quella legata alla possibilità, per coloro che sfruttano il bug, di creare nuovi utenti admin e prendere il controllo del sito estromettendo i legittimi titolari.
La falla di sicurezza coinvolgerebbe il plugin nelle sue versioni che vanno dalla 3.2.0 a tutte le precedenti, senza esclusioni, ciò dà l’idea dell’urgenza di una riparazione del problema, mentre alla vulnerabilità è stata assegnata la serie CVE-2025-24000 con un punteggio riferito alla gravità pari a 8.8 su 10. C’è poi la questione, ancora più importante, legata al numero di siti che utilizzano Post SMTP su WordPress, ovvero circa 400.000, i quali devono aggiornare assolutamente il plugin. A proposito di aggiornamento, esso è già stato reso disponibile dalla casa produttrice del plugin ed ora tutti gli utenti possono effettuare l’update alla versione 3.3.0 che ha rimediato al problema.
Tornando al punto di partenza sollevato all’inizio di questo breve approfondimento, è possibile commentare positivamente la proattività degli sviluppatori di Post SMTP, che a due giorni dalla pubblicazione della notizia della vulnerabilità presente sulla versione 3.2.0 del loro plugin hanno pubblicato la versione contenente la patch. Non è ancora noto se la falla è stata sfruttata attivamente o meno, ma proprio adesso che è stata annunciata in modo pubblico è importantissimo che tutti coloro che utilizzano il plugin procedano all’update e corrano quindi ai ripari, questo perché la velocità degli sviluppatori è sicuramente lodevole ma deve coincidere con una velocità quasi identica dei responsabili dei siti web.
Fonte: 1
