Acceso root con un solo clic: un error en un plugin popular convierte a los suscriptores en administradores
Cómo unas pocas líneas de código pusieron en riesgo medio millón de sitios web.
Más de 200 mil sitios en WordPress siguen siendo vulnerables debido a un error crítico en el popular complemento Post SMTP, que permite a los atacantes obtener control total sobre la cuenta de administrador. La vulnerabilidad ha sido identificada como CVE-2025-24000 y afecta a todas las versiones del complemento hasta la 3.2.0 inclusive. Al momento de la publicación, la corrección se ha instalado en menos de la mitad de los sistemas que utilizan este componente.
Post SMTP es una herramienta para el envío confiable de correos electrónicos desde sitios WordPress, que sustituye la función incorporada wp_mail(). Con más de 400 mil instalaciones, es una de las soluciones más populares en su categoría. Sin embargo, en mayo de 2025, especialistas de PatchStack recibieron un informe indicando que la lógica de control de acceso del REST API del complemento estaba mal implementada. En lugar de verificar los privilegios del usuario, el sistema solo comprobaba si estaba autenticado, lo que permitía que incluso visitantes con bajos privilegios, como los suscriptores, accedieran a datos protegidos.
En particular, un suscriptor podía iniciar el restablecimiento de la contraseña del administrador y capturar el correo correspondiente a través de los registros de correo electrónico, cuyo acceso no estaba restringido. Esto creaba una vía para tomar el control total del panel administrativo del sitio sin necesidad de explotar otras vulnerabilidades ni tener acceso físico al servidor.
La información sobre el problema fue enviada al desarrollador Saad Iqbal el 23 de mayo. Solo tres días después, presentó una nueva implementación de la función get_logs_permission, donde se introdujo una verificación completa de los privilegios del usuario antes de acceder al API. La versión corregida — 3.3.0 — fue publicada el 11 de junio.
A pesar de la existencia de la actualización, las estadísticas de WordPress.org muestran una situación alarmante: más del 51% de los sitios aún utilizan versiones vulnerables. Especialmente crítica es la situación entre los usuarios de la rama 2.x — se estima que unos 96 800 sitios siguen operando con estas versiones, que contienen no solo la CVE-2025-24000, sino también otras brechas de seguridad conocidas.
El problema pone de manifiesto una vulnerabilidad sistémica en el ecosistema WordPress, donde incluso actualizaciones de seguridad importantes no se aplican de inmediato. Dada la facilidad de explotación y la amplia adopción del complemento, se espera que los ataques contra recursos no protegidos continúen y se intensifiquen. La eliminación de esta amenaza requiere la actualización inmediata a la versión 3.3.0 o superior.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!