Plataforma
wordpress
Componente
wp-gmail-smtp
Corrigido em
1.0.8
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada no plugin WP Gmail SMTP. Essa falha permite que atacantes executem ações em nome de usuários autenticados sem o seu conhecimento. A vulnerabilidade afeta versões do plugin de 0 até 1.0.7 e a correção envolve a atualização para uma versão mais recente.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize ações administrativas no site WordPress, como alterar configurações de e-mail, adicionar ou remover usuários, ou até mesmo comprometer a conta de um administrador. O impacto é amplificado em ambientes onde o plugin é amplamente utilizado para envio de e-mails críticos, pois um atacante pode manipular essas comunicações. A falta de proteção CSRF adequada torna o plugin um vetor de ataque para comprometer a integridade do site e a confidencialidade dos dados dos usuários.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há relatos públicos de exploração ativa no momento. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial para atacantes. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA.
WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Serverdisclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin WP Gmail SMTP para a versão mais recente, que inclui a correção para a falha CSRF. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a validação rigorosa de todas as requisições de formulário e a implementação de tokens CSRF. Além disso, utilize um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de ataques CSRF. Após a atualização, verifique se as configurações de e-mail foram alteradas indevidamente.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62123 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin WP Gmail SMTP, permitindo que atacantes executem ações não autorizadas em nome de usuários.
Sim, se você estiver utilizando o plugin WP Gmail SMTP nas versões de 0 a 1.0.7, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin WP Gmail SMTP para a versão mais recente, que inclui a correção para a falha CSRF.
Não há relatos públicos de exploração ativa no momento, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial.
Consulte o site oficial do WP Gmail SMTP ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.