Plateforme
php
Composant
my-smtp-contact-plugin
Corrigé dans
1.1.2
La vulnérabilité CVE-2021-47830 est une faille de Cross-Site Request Forgery (CSRF) affectant le plugin My SMTP Contact Plugin pour GetSimple CMS. Cette faille permet à un attaquant de modifier les paramètres de configuration SMTP du plugin via une requête malveillante. Les versions concernées sont 1.1.1 et 1.1.1. Aucune version corrigée n'est actuellement disponible.
Un attaquant peut exploiter cette vulnérabilité CSRF en créant une page web malveillante. Si un administrateur authentifié visite cette page, l'attaquant peut modifier les paramètres SMTP du plugin My SMTP Contact Plugin. Cela peut entraîner des modifications non autorisées de la configuration du serveur de messagerie, potentiellement permettant l'envoi d'e-mails frauduleux ou la redirection du trafic de messagerie. Bien que cette vulnérabilité ne permette pas directement l'exécution de code à distance, elle peut être utilisée pour compromettre la communication par e-mail et potentiellement mener à d'autres attaques.
La vulnérabilité CVE-2021-47830 a été divulguée publiquement le 21 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de l'absence de PoC et de l'absence de rapports d'exploitation.
Administrators of GetSimple CMS sites using the My SMTP Contact Plugin versions 1.1.1–1.1.1 are at risk. Sites with shared hosting environments or those that haven't implemented robust security practices are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'smtp_host = ' /var/www/html/plugins/my-smtp-contact-plugin/• generic web:
curl -I https://example.com/plugins/my-smtp-contact-plugin/admin.php | grep -i 'csrf token'disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
En l'absence de version corrigée, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est fortement recommandé de désactiver temporairement le plugin My SMTP Contact Plugin si possible. Si la désactivation n'est pas possible, implémentez des contrôles d'accès stricts pour les paramètres SMTP, limitant l'accès aux seuls administrateurs de confiance. Surveillez attentivement les journaux du serveur pour détecter toute modification non autorisée des paramètres SMTP. L'utilisation d'un Web Application Firewall (WAF) avec des règles CSRF peut également aider à bloquer les requêtes malveillantes.
Mettez à jour le plugin My SMTP Contact vers la dernière version disponible pour atténuer la vulnérabilité CSRF. Vérifiez que les configurations du plugin sont protégées contre les modifications non autorisées. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et la protection contre les attaques CSRF en général.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-47830 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans le plugin My SMTP Contact Plugin pour GetSimple CMS, permettant à un attaquant de modifier les paramètres SMTP.
Si vous utilisez GetSimple CMS avec le plugin My SMTP Contact Plugin versions 1.1.1 ou 1.1.1, vous êtes potentiellement affecté par cette vulnérabilité.
Malheureusement, aucune version corrigée n'est actuellement disponible. Des mesures d'atténuation, telles que la désactivation du plugin ou la mise en place de contrôles d'accès stricts, sont recommandées.
À ce jour, il n'y a pas d'indications d'une exploitation active de CVE-2021-47830, mais la vulnérabilité reste présente et potentiellement exploitable.
Veuillez consulter le site web de GetSimple CMS ou leurs canaux de communication officiels pour obtenir des informations et des mises à jour concernant CVE-2021-47830.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.