Katalog CVE

CVE-2026-6235

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Sendmachine dla WordPressa jest podatna na obejście autoryzacji poprzez funkcję 'manage_admin_requests' we wszystkich wersjach do i włącznie z 1.0.20. Problem wynika z niewłaściwego weryfikowania uprawnień użytkownika do wykonania akcji.

Ocena ryzyka

Niezautoryzowani atakujący mogą nadpisać konfigurację SMTP wtyczki, co umożliwia przechwytywanie wszystkich wychodzących e-maili z witryny, w tym e-maili resetujących hasło.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

The Sendmachine for WordPress plugin for WordPress is vulnerable to authorization bypass via the 'manage_admin_requests' function in all versions up to, and including, 1.0.20. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for unauthenticated attackers to overwrite the plugin's SMTP configuration, which can be leveraged to intercept all outbound emails from the site (including password reset emails).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS