Continuano ad arrivare aggiornamenti riguardo a vulnerabilità legate a strumenti aggiuntivi che gli utenti WordPress utilizzano per facilitare alcune funzioni. In questo caso vedremo uno strumento che gli utenti del noto CMS utilizzano per l’invio massivo di email, ma soprattutto un plugin che già questa estate aveva dato non pochi problemi alla enorme mole di utenti della quale dispone (qui l’approfondimento di luglio).
Partiamo col dire che il plugin in questione è Post SMTP, che appunto facilita l’inoltro massivo di email direttamente a partire dal backend del proprio sito, creando automatismi e migliorare la deliverability dei messaggi, ovvero la qualità delle email, cosa che si riflette anche nell’approvazione da parte dei server di posta verso i quali si inoltrano i messaggi o, al contrario, del contrassegno delle proprie email come spam. I problemi, stavolta, riguardano invece il cosiddetto Account Takeover, ovvero la perdita del controllo degli account a causa della possibilità, per un attaccante, di visualizzare i log delle email, comprese quelle per il reset delle password. Questa vulnerabilità, se sfruttata, consente anche di effettuare modifiche ai vari utenti WordPress del proprio backend, dando modo quindi anche di cambiare le password a tutti, amministratori compresi.
Scendiamo nel dettaglio della segnalazione fatta da Wordfence in data 3 novembre per spiegare che la vulnerabilità, chiamata CVE-2025-11833 riscontrata su Post SMTP ha una mancanza nella funzionalità chiamata construct e questo problema è presente in tutte le versioni del plugin fino alla 3.6.0 (inclusa). La gravità è molto più alta di quella riscontrata a luglio, in quanto il punteggio assegnato è stato pari a 9.8 su 10, consentendo infatti tutte le attività malevole già elencate nel paragrafo precedente. Il team Wordfence ha segnalato la problematica ai creatori del plugin, ovvero WP Experts, in data 15 ottobre a seguito di una segnalazione fatta l’11 ottobre da un utente. È importante sottolineare anche che il team di sviluppo di Post SMTP è stato altrettanto rapido nel dare seguito alle segnalazioni, infatti il 29 ottobre ha rilasciato la versione contenente la patch che mette a posto il problema, ovvero la 3.6.1.
È altrettanto necessario sottolineare che il team di Wordfence ha notificato che gli hacker hanno già iniziato a prendere di mira questa falla, poiché sono stati segnalati e bloccati circa 4.500 tentativi a partire dall’1 novembre scorso, solo per coloro che possedevano però una soluzione di protezione, quindi è importante sapere che in qualche caso gli attacchi potrebbero essere andati a segno. La versione 3.6.1 è disponibile ormai da diversi giorni, quindi coloro che utilizzano il plugin, allo stesso modo di come hanno fatto in luglio, devono assolutamente procedere all’aggiornamento. È superfluo tornare a spiegare come la salute dei propri siti web sia importante così come la protezione dei dati delle email che si inviano e dei propri utenti, ma altrettanto importante è la reputazione dei propri messaggi, ma sfruttando questa vulnerabilità i criminali possono inoltrare messaggi malevoli col nostro sito web, compromettendolo sotto vari aspetti.
Fonte: 1
