Uma falha crítica no plugin Post SMTP do WordPress expõe mais de 200 mil sites a invasões. A vulnerabilidade CVE-2023-6875 permite que invasores redefinam senhas de administradores sem autenticação...
Uma falha crítica no plugin Post SMTP do WordPress expõe mais de 200 mil sites a invasões. A vulnerabilidade CVE-2023-6875 permite que invasores redefinam senhas de administradores sem autenticação. Atualize o plugin para a versão 2.8.7 imediatamente para proteger seu site.
Uma falha crítica no plugin Post SMTP, utilizado por mais de 200 mil sites WordPress, está colocando milhares de páginas em risco de invasões. A vulnerabilidade CVE-2023-6875 permite que invasores redefinam senhas de administradores, mesmo sem autenticação, comprometendo o controle total do site.
O problema está em uma configuração incorreta da função POST_SMTP_AUTH, que pode ser explorada via APIs REST. Com isso, atacantes conseguem forçar redefinições de senha ao enviar requisições maliciosas para contas de administradores, especialmente em sites que têm o recurso de redirecionamento ativado.
Se você notar comportamentos estranhos em seu site, como alterações não autorizadas ou dificuldades de acesso, isso pode ser um sinal de que sua instalação do WordPress está comprometida. A vulnerabilidade no plugin Post SMTP é uma das causas potenciais.
O plugin afetado é popular por facilitar o envio de e-mails via SMTP, integrando serviços como Gmail e Outlook. A falha já foi corrigida na versão 2.8.7. Os desenvolvedores recomendam que os usuários atualizem imediatamente. Sites que ainda utilizam versões anteriores permanecem expostos a ataques que podem comprometer dados, operações e reputação.
Dica de Prevenção: Se sua empresa utiliza WordPress, mantenha todos os plugins atualizados e monitore versões vulneráveis em uso. Além disso, ative autenticação em dois fatores para administradores e implemente firewalls de aplicação (WAF) para bloquear requisições maliciosas.
O monitoramento constante e a aplicação de boas práticas de segurança reduzem drasticamente os riscos de invasões.
O plugin Post SMTP é utilizado por sites WordPress para facilitar o envio de e-mails via SMTP, integrando serviços como Gmail e Outlook.
Se você notar alterações não autorizadas ou dificuldades de acesso, isso pode indicar que seu site está comprometido. Verifique se o plugin está na versão mais recente.
Não atualizar o plugin pode deixar seu site exposto a invasões, comprometendo dados, operações e a reputação do seu negócio.
A LC SEC oferece serviços especializados em auditoria de sites, identificação de vulnerabilidades e proteção contínua. Acesse lcsec.io e descubra como podemos ajudar.