Plataforma
wordpress
Componente
wp-gmail-smtp
Corregido en
1.0.8
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WP Gmail SMTP. Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en nombre de un usuario autenticado sin su conocimiento. La vulnerabilidad afecta a las versiones del plugin desde la n/a hasta la 1.0.7, y su explotación exitosa podría comprometer la configuración del plugin y, potencialmente, el acceso a la cuenta de correo electrónico asociada.
Un atacante podría aprovechar esta vulnerabilidad CSRF para modificar la configuración del plugin WP Gmail SMTP, como cambiar la dirección de correo electrónico de envío, las credenciales SMTP o las opciones de registro. Esto podría resultar en el envío de correos electrónicos no autorizados, la interrupción del servicio de correo electrónico o incluso el acceso a información confidencial. La severidad de este impacto depende del nivel de acceso que tenga el usuario afectado y de la sensibilidad de la información que se maneja a través del plugin. Aunque no se ha reportado explotación activa, la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados.
La vulnerabilidad ha sido publicada el 31 de diciembre de 2025. No se ha reportado explotación activa en campañas dirigidas, pero la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados. No se ha añadido a KEV ni se ha determinado un EPSS score.
WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Serverdisclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin WP Gmail SMTP a una versión corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación de tokens CSRF en todas las solicitudes críticas. Además, se aconseja restringir el acceso al panel de administración de WordPress y educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos. Verifique que la actualización se haya realizado correctamente revisando la versión del plugin en el panel de administración de WordPress.
No se conoce ninguna solución disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62123 es una vulnerabilidad CSRF en el plugin WP Gmail SMTP que permite a atacantes realizar acciones no autorizadas en nombre de usuarios autenticados.
Si está utilizando WP Gmail SMTP en versiones desde n/a hasta 1.0.7, es vulnerable a esta vulnerabilidad CSRF.
Actualice el plugin WP Gmail SMTP a la última versión disponible para corregir esta vulnerabilidad.
Aunque no se ha reportado explotación activa, la naturaleza de las vulnerabilidades CSRF las hace susceptibles a ataques automatizados.
Consulte el sitio web oficial de WP Gmail SMTP o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.