CVE-2026-6235
CriticalSummary
Wtyczka Sendmachine dla WordPressa jest podatna na obejście autoryzacji poprzez funkcję 'manage_admin_requests' we wszystkich wersjach do i włącznie z 1.0.20. Problem wynika z niewłaściwego weryfikowania uprawnień użytkownika do wykonania akcji.
Risk Assessment
Niezautoryzowani atakujący mogą nadpisać konfigurację SMTP wtyczki, co umożliwia przechwytywanie wszystkich wychodzących e-maili z witryny, w tym e-maili resetujących hasło.
Recommendation
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Original NVD description (English source)
The Sendmachine for WordPress plugin for WordPress is vulnerable to authorization bypass via the 'manage_admin_requests' function in all versions up to, and including, 1.0.20. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite the plugin's SMTP configuration, which can be leveraged to intercept all outbound emails from the site (including password reset emails).

