CVE-2025-62123: CSRF in WP Gmail SMTP

このCSRF脆弱性は、攻撃者が認証されたユーザーとして行動し、WP Gmail SMTPの設定を変更したり、メールを送信したり、その他の管理操作を実行することを可能にします。攻撃者は、巧妙に作成された悪意のあるウェブサイトやリンクを通じて、ユーザーを騙して脆弱なプラグインの機能を使用させることができます。これにより、機密情報の漏洩、不正なメール送信、さらにはウェブサイト全体の制御喪失につながる可能性があります。この脆弱性は、特に管理者権限を持つユーザーにとって深刻な脅威となります。

WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.

• wordpress / composer / npm:

grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Server

1. 2025-12-31Disclosure

   disclosure

1. 予約済み2025-10-07
2. 公開日2025-12-31
3. 更新日2026-04-28
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、WP Gmail SMTPプラグインを最新バージョンにアップデートすることです。アップデートが利用できない場合、WAF（Web Application Firewall）を使用して、CSRF攻撃をブロックするルールを実装することを検討してください。また、WordPressのセキュリティプラグインを使用して、CSRFトークンを検証するカスタムルールを追加することも有効です。プラグインのアップデートが困難な場合は、一時的な回避策として、プラグインのアクセスを制限し、不要な機能を無効にすることを検討してください。