Plateforme
wordpress
Composant
wp-gmail-smtp
Corrigé dans
1.0.8
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans le plugin WP Gmail SMTP. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions du plugin comprises entre 0 et 1.0.7. Une mise à jour vers une version corrigée est recommandée pour atténuer ce risque.
La vulnérabilité CSRF dans WP Gmail SMTP permet à un attaquant de créer une requête malveillante qui, si exécutée par un utilisateur authentifié, peut modifier les paramètres de configuration du plugin, accéder à des informations sensibles ou même compromettre des données associées aux envois d'emails. Un attaquant pourrait, par exemple, modifier les informations d'identification SMTP, rediriger les emails vers une adresse malveillante ou voler des données d'utilisateurs. L'impact est amplifié si le plugin est utilisé dans un environnement partagé ou si les utilisateurs ont des privilèges d'administrateur.
Cette vulnérabilité a été rendue publique le 31 décembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nature de la vulnérabilité CSRF, qui nécessite une interaction de l'utilisateur pour être exploitée avec succès. Aucun exploit public n'est connu à ce jour.
WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Serverdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin WP Gmail SMTP vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires, telles que l'ajout de tokens CSRF à tous les formulaires sensibles du plugin. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les paramètres de configuration du plugin sont corrects et sécurisés.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-62123 décrit une vulnérabilité CSRF dans le plugin WP Gmail SMTP, permettant à un attaquant d'effectuer des actions non autorisées. La vulnérabilité affecte les versions 0 à 1.0.7.
Oui, si vous utilisez WP Gmail SMTP en version 0 à 1.0.7, vous êtes affecté. Mettez à jour le plugin dès que possible.
La solution est de mettre à jour WP Gmail SMTP vers la dernière version disponible. En attendant, appliquez des mesures de mitigation comme l'ajout de tokens CSRF.
À ce jour, il n'y a pas d'indications d'une exploitation active, mais la vulnérabilité reste présente et potentiellement exploitable.
Consultez le site web du développeur de WP Gmail SMTP ou le dépôt GitHub du plugin pour l'avis officiel et les détails de la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.