平台
wordpress
组件
wp-gmail-smtp
修复版本
1.0.8
CVE-2025-62123 描述了 WP Gmail SMTP 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者利用受害者浏览器执行未经授权的操作,从而可能导致数据泄露或恶意行为。该漏洞影响 WP Gmail SMTP 插件的 0 至 1.0.7 版本。已发布补丁,建议用户尽快升级。
攻击者可以利用此 CSRF 漏洞,通过诱骗受害者访问恶意链接或提交恶意表单,在受害者不知情的情况下执行操作。例如,攻击者可能能够更改 SMTP 设置,导致电子邮件发送失败或被重定向到恶意服务器。更严重的后果包括攻击者可能利用该漏洞访问敏感数据,例如电子邮件内容或联系人信息,并将其用于进一步的攻击,例如钓鱼攻击或身份盗窃。由于 WordPress 插件的广泛使用,该漏洞的潜在影响范围广泛。
目前,该漏洞尚未被广泛利用,但由于其影响范围和相对简单的利用方式,存在被利用的风险。该漏洞已于 2025 年 12 月 31 日公开披露。尚未观察到公开的利用程序 (PoC),但攻击者可能会自行开发利用程序。建议密切关注安全社区的动态,并及时采取措施。
WordPress websites utilizing the WP Gmail SMTP plugin, particularly those with shared hosting environments or less stringent user permission controls, are at risk. Sites with legacy configurations or those that haven't recently updated their plugins are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_gmail_smtp' /var/www/html/wp-content/plugins/
wp-cli plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-gmail-smtp/ | grep Serverdisclosure
漏洞利用状态
EPSS
0.01% (0% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-62123 漏洞,最有效的措施是立即将 WP Gmail SMTP 插件升级到最新版本。如果升级不可行,可以考虑实施一些临时缓解措施,例如使用 Web 应用防火墙 (WAF) 来过滤恶意请求,或者在关键操作中添加额外的身份验证步骤。此外,建议实施严格的输入验证和输出编码,以防止 CSRF 攻击。升级后,请验证 SMTP 设置是否正确,并检查是否有任何未经授权的更改。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62123 是一个跨站请求伪造 (CSRF) 漏洞,影响 WP Gmail SMTP 插件的 0–1.0.7 版本,允许攻击者在未经授权的情况下执行操作。
如果您正在使用 WP Gmail SMTP 插件的 0–1.0.7 版本,则您可能受到此漏洞的影响。请立即升级到最新版本。
最有效的修复方法是升级 WP Gmail SMTP 插件到最新版本。如果无法升级,请考虑使用 WAF 或实施额外的身份验证步骤。
目前尚未观察到大规模利用,但存在被利用的风险。建议密切关注安全动态。
请访问 WP Gmail SMTP 插件的官方网站或 WordPress 插件目录,查找有关 CVE-2025-62123 的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。