Plataforma
wordpress
Componente
post-smtp
Corregido en
3.8.1
El plugin Post SMTP – Complete Email Deliverability and SMTP Solution with Email Logs, Alerts, Backup SMTP & Mobile App para WordPress es vulnerable a Cross-Site Scripting (XSS) almacenado. Esta vulnerabilidad, presente en versiones hasta la 3.8.0, permite a atacantes inyectar scripts web maliciosos a través del parámetro ‘event_type’. La ejecución de estos scripts ocurre cuando un usuario accede a la página inyectada, comprometiendo la seguridad del sitio web.
Un atacante puede explotar esta vulnerabilidad para inyectar código JavaScript malicioso en páginas del sitio WordPress. Este código podría robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página. La inyección exitosa de XSS puede resultar en el robo de información confidencial, la suplantación de identidad de usuarios, y la defacement del sitio web. La necesidad de que el plugin Post SMTP Pro y su extensión de Reporting y Tracking estén instalados limita el alcance, pero aún representa un riesgo significativo para los sitios que los utilizan.
Esta vulnerabilidad fue publicada el 18 de marzo de 2026. No se han reportado casos de explotación activa en el momento de la publicación. La vulnerabilidad se considera de alta probabilidad de explotación debido a su relativa facilidad de ejecución y el impacto potencial. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Websites using the Post SMTP plugin, particularly those with the Post SMTP Pro plugin and its Reporting and Tracking extension enabled, are at risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the exploitation of this vulnerability on other sites.
• wordpress / composer / npm:
grep -r 'event_type' /var/www/html/wp-content/plugins/post-smtp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'post-smtp'• wordpress / composer / npm:
wp plugin list --status=active | grep 'post-smtp-pro'• wordpress / composer / npm:
wp option get post_smtp_reporting_enableddisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Post SMTP a la versión 3.9.0 o superior, donde se ha corregido la vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar. Implementar reglas en un Web Application Firewall (WAF) para filtrar solicitudes con patrones sospechosos en el parámetro ‘event_type’ puede proporcionar una capa adicional de protección. Además, revise los logs del servidor en busca de intentos de inyección de scripts.
Actualizar a la versión 3.9.0, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3090 is a Stored Cross-Site Scripting (XSS) vulnerability affecting the Post SMTP WordPress plugin versions 0.0.0–3.8.0, allowing attackers to inject malicious scripts.
You are affected if you are using Post SMTP WordPress plugin versions 0.0.0 through 3.8.0 and have the Post SMTP Pro plugin with the Reporting and Tracking extension enabled.
Upgrade the Post SMTP plugin to version 3.9.0 or later. As a temporary workaround, disable the Reporting and Tracking extension within the Post SMTP Pro plugin.
While no public exploits are currently known, the ease of XSS exploitation suggests a medium probability of exploitation.
Refer to the Post SMTP website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.