プラットフォーム
php
コンポーネント
my-smtp-contact-plugin
修正版
1.1.2
CVE-2021-47830は、GetSimple CMSのMy SMTP Contact Pluginにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が確認されています。この脆弱性を悪用されると、認証された管理者が意図しない操作を実行させられる可能性があります。影響を受けるバージョンは1.1.1から1.1.1です。プラグインのアップデートにより、この脆弱性は修正されています。
このCSRF脆弱性は、攻撃者が認証された管理者のセッションを悪用し、SMTP設定を不正に変更することを可能にします。これにより、攻撃者はメール送信先や認証情報を改ざんし、スパム送信やフィッシング攻撃などの悪意のある活動に利用する可能性があります。攻撃者は、管理者が訪問するウェブページに悪意のあるスクリプトを埋め込むことで、この脆弱性を悪用できます。設定変更は直接的なリモートコード実行には繋がりませんが、メールシステムを乗っ取るための足がかりとなる可能性があります。
この脆弱性は、2026年1月21日に公開されました。現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的容易に悪用される可能性があるため、注意が必要です。CISA KEVリストには登録されていません。NVDデータベースも参照してください。
Administrators of GetSimple CMS sites using the My SMTP Contact Plugin versions 1.1.1–1.1.1 are at risk. Sites with shared hosting environments or those that haven't implemented robust security practices are particularly vulnerable.
• wordpress / composer / npm:
grep -r 'smtp_host = ' /var/www/html/plugins/my-smtp-contact-plugin/• generic web:
curl -I https://example.com/plugins/my-smtp-contact-plugin/admin.php | grep -i 'csrf token'disclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずMy SMTP Contact Pluginを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、ウェブアプリケーションファイアウォール(WAF)を導入し、CSRFトークン検証を強化することで、攻撃を軽減できます。また、管理者のアカウントに二段階認証を導入することで、不正アクセスを防止できます。設定変更を行う際には、常に注意を払い、不審なリクエストは実行しないようにしてください。アップデート後、SMTP設定が正常に機能していることを確認してください。
CSRF の脆弱性を軽減するために、My SMTP Contact プラグインを最新バージョンにアップデートしてください。プラグインの設定が不正な変更から保護されていることを確認してください。入力検証や一般的な CSRF 対策など、追加のセキュリティ対策を実装してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2021-47830は、GetSimple CMSのMy SMTP Contact Plugin 1.1.1–1.1.1に存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性です。攻撃者は、認証された管理者が悪意のあるウェブページを閲覧すると、SMTP設定を変更できます。
はい、影響を受けます。バージョン1.1.1–1.1.1を使用しているGetSimple CMSのウェブサイトの管理者は、SMTP設定の不正変更のリスクがあります。
My SMTP Contact Pluginを最新バージョンにアップデートしてください。アップデートが困難な場合は、WAFの導入や二段階認証の設定を検討してください。
現時点では、公的なPoCは確認されていませんが、CSRF脆弱性は比較的容易に悪用される可能性があるため、注意が必要です。
GetSimple CMSの公式ウェブサイトまたはセキュリティページで、CVE-2021-47830に関するアドバイザリをご確認ください。