Platform
wordpress
Component
wp-gmail-smtp
Opgelost in
1.0.8
Deze kwetsbaarheid is een Cross-Site Request Forgery (CSRF) in de WP Gmail SMTP plugin. Een CSRF-aanval kan een aanvaller in staat stellen om ongeautoriseerde acties uit te voeren namens een ingelogde gebruiker. De kwetsbaarheid treft versies van de plugin van 0 tot en met 1.0.7. Een beveiligingsupdate is beschikbaar om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de configuratie van de WP Gmail SMTP plugin, zoals het wijzigen van SMTP-instellingen of het toevoegen van nieuwe e-mailadressen. Dit kan resulteren in het onderscheppen van e-mails, het verzenden van spam of andere kwaadaardige activiteiten. De impact is vooral groot als de plugin wordt gebruikt voor kritieke communicatie of transacties, aangezien een aanvaller deze kan manipuleren. Hoewel de kwetsbaarheid niet direct leidt tot code-uitvoering, kan het misbruik ervan leiden tot verdere aanvallen op het WordPress-systeem.
De kwetsbaarheid is openbaar bekend gemaakt op 31 december 2025. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kans op actieve exploitatie is momenteel laag, maar kan toenemen naarmate meer details over de kwetsbaarheid bekend worden.
WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Serverdisclosure
Exploit Status
EPSS
0.01% (0% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de WP Gmail SMTP plugin naar de nieuwste versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om CSRF-tokens te valideren en kwaadaardige verzoeken te blokkeren. Zorg ervoor dat alle formulieren in de plugin voorzien zijn van CSRF-tokens. Controleer de plugin-configuratie op onnodige privileges en beperk de toegang tot gevoelige instellingen.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62123 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WP Gmail SMTP plugin, waardoor een aanvaller ongeautoriseerde acties kan uitvoeren.
Ja, als u de WP Gmail SMTP plugin gebruikt in versie 0 tot en met 1.0.7, bent u getroffen door deze kwetsbaarheid.
Update de WP Gmail SMTP plugin naar de nieuwste versie om de kwetsbaarheid te verhelpen. Implementeer een WAF als directe upgrade niet mogelijk is.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kans op misbruik is aanwezig.
Raadpleeg de website van inkthemes of de WordPress plugin directory voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.