Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Gli autori delle minacce stanno sfruttando attivamente una vulnerabilità critica nel plugin Post SMTP installato su oltre 400.000 siti WordPress, per assumerne il controllo completo dirottando gli account degli amministratori.
Post SMTP è una popolare soluzione di recapito e-mail, pubblicizzata come una sostituzione più affidabile e ricca di funzionalità della funzione predefinita 'wp_mail()'.
L'11 ottobre, l'azienda di sicurezza WordPress Wordfence ha ricevuto un rapporto dal ricercatore "netranger" su un problema di divulgazione del registro delle e-mail che potrebbe essere sfruttato per attacchi di furto di account.
Il problema, identificato come CVE-2025-11833, ha ricevuto un punteggio di gravità critica pari a 9,8 e interessa tutte le versioni di Post SMTP dalla 3.6.0 in poi.
La vulnerabilità deriva dalla mancanza di controlli di autorizzazione nella funzione '_construct' del flusso 'PostmanEmailLogs' del plugin.
Tale costruttore esegue direttamente il rendering del contenuto delle e-mail registrate quando richiesto, senza eseguire controlli di capacità, consentendo ad aggressori non autenticati di leggere e-mail registrate in modo arbitrario.
L'esposizione include messaggi di reimpostazione della password con link che consentono di modificare la password di un amministratore senza dover contattare il legittimo titolare dell'account, con il rischio di prendere il controllo dell'account e compromettere l'intero sito.
Wordfence ha convalidato l'exploit del ricercatore il 15 ottobre e ha rivelato in dettaglio il problema al fornitore, Saad Iqbal, lo stesso giorno.
Il 29 ottobre è arrivata una patch, con Post SMTP versione 3.6.1. In base ai dati di WordPress.org, circa la metà degli utenti del plugin lo ha scaricato dal rilascio della patch, lasciando almeno 210.000 siti vulnerabili ad attacchi di acquisizione da parte degli amministratori.
Secondo Wordfence, gli hacker hanno iniziato a sfruttare CVE-2025-11833 il 1° novembre. Da allora, l'azienda di sicurezza ha bloccato oltre 4.500 tentativi di exploit ai danni dei suoi clienti.
Dato lo stato di sfruttamento attivo, si consiglia ai proprietari di siti web che utilizzano Post SMTP di passare immediatamente alla versione 3.6.1 o di disattivare il plugin.
A luglio, PatchStack ha rivelato che Post SMTP era vulnerabile a una falla che consentiva agli hacker di accedere ai registri di posta elettronica contenenti l'intero contenuto dei messaggi, anche a livello di abbonato.
Tale difetto, identificato come CVE-2025-24000, ha avuto le stesse ripercussioni di CVE-2025-11833, consentendo a utenti non autorizzati di attivare reimpostazioni di password, intercettare messaggi e assumere il controllo degli account amministratore.
7 buone pratiche di sicurezza per MCP
Poiché MCP (Model Context Protocol) sta diventando lo standard per la connessione degli LLM a strumenti e dati, i team di sicurezza si stanno muovendo rapidamente per garantire la sicurezza di questi nuovi servizi.
Questo promemoria gratuito illustra le 7 migliori pratiche che puoi iniziare a utilizzare oggi stesso.
Articoli correlati:
Gli hacker sfruttano una falla critica nell'aggiramento dell'autenticazione nel tema WordPress JobMonster
Il plugin di sicurezza di WordPress espone i dati privati agli abbonati del sito
Gli hacker lanciano attacchi di massa sfruttando plugin WordPress obsoleti
Gli hacker sfruttano il bypass di autenticazione nel tema WordPress Service Finder
Microsoft: patch per la falla WSUS disabilita l'hotpatching di Windows Server
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube