Resumen ejecutivo
Se ha identificado una vulnerabilidad en el plugin Post SMTP, que afecta a las versiones hasta la 3.6.1. Esta falla permite la actualización no autorizada de tokens OAuth para usuarios autenticados con rol de suscriptor o superior.
Fuente base de datos: Wordfence Intelligence
Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App <= 3.6.1 - Missing Authorization to Authenticated (Subscriber+) OAuth Token Update
PLUGIN
MEDIUM
CVE-2025-12887
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad radica en la falta de autorización adecuada al actualizar tokens OAuth, lo que permite a usuarios con privilegios limitados realizar acciones que deberían estar restringidas. Esto expone el sistema a manipulaciones no deseadas a través de la API del plugin.
Impacto potencial
El impacto potencial incluye la posibilidad de que usuarios no autorizados obtengan acceso a funcionalidades críticas del plugin, lo que podría comprometer la seguridad del sitio y la integridad de los datos. Esto puede llevar a un aumento en la exposición a ataques y a la pérdida de confianza por parte de los usuarios.
Vector de explotación
Suele explotarse mediante el envío de solicitudes maliciosas a la API del plugin, aprovechando la falta de controles de autorización para modificar tokens OAuth.
Mitigación recomendada
Actualizar el plugin Post SMTP a la versión 3.6.2 o superior de inmediato. Además, revisar los permisos de usuario y aplicar medidas de seguridad adicionales para proteger la API del plugin.
Señales de detección
Señales de riesgo pueden incluir intentos inusuales de modificación de tokens OAuth en los registros del plugin o actividad sospechosa por parte de usuarios con rol de suscriptor.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 3.6.2 del plugin Post SMTP. Se recomienda a los usuarios que verifiquen la versión instalada y actualicen si es necesario.
Vulnerabilidades relacionadas
HIGH
PLUGIN
post-smtp
Post SMTP <= 3.8.0 - Unauthenticated Stored Cross-Site Scripting via 'event_type'
MEDIUM
PLUGIN
post-smtp
Post SMTP <= 3.8.0 - Missing Authorization to Authenticated (Subscriber+) Office 365 OAuth Configuration Overwrite
CRITICAL
PLUGIN
post-smtp
Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App <= 3.6.0 - Missing Authorization to Account Takeover via Unauthenticated Email Log Disclosure
MEDIUM
PLUGIN
post-smtp
Post SMTP <= 3.4.1 - Missing Authorization to Authenticated (Subscriber+) Limited Plugin Option Update
HIGH
PLUGIN
post-smtp
Post SMTP <= 3.2.0 - Missing Authorization to Authenticated (Subscriber+) Account Takeover via Email Log Exposure
MEDIUM
PLUGIN
post-smtp
Post SMTP <= 3.1.2 - Authenticated (Administrator+) SQL Injection via columns Parameter
HIGH
PLUGIN
post-smtp
Post SMTP <= 3.0.2 - Unauthenticated Stored Cross-Site Scripting
MEDIUM
PLUGIN
post-smtp
Post SMTP <= 2.9.11 - Missing Authorization via regenerate_qrcode()
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto