CVE-2025-11833
CriticalSummary
Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.
Risk Assessment
Podatność ta stwarza ryzyko przejęcia konta przez atakujących, którzy mogą uzyskać dostęp do wrażliwych informacji, takich jak linki do resetowania haseł. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Recommendation
Zaleca się aktualizację wtyczki Post SMTP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak monitorowanie logów i ograniczenie dostępu do wtyczki.
Original NVD description (English source)
The Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the __construct function in all versions up to, and including, 3.6.0. This makes it possible for unauthenticated attackers to read arbitrary logged emails sent through the Post SMTP plugin, including password reset emails containing password reset links, which can lead to account takeover.

