CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-11833

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Post SMTP – Kompletny rozwiązanie SMTP z logami, alertami, kopią zapasową SMTP i aplikacją mobilną dla WordPressa jest podatna na nieautoryzowany dostęp do danych z powodu braku sprawdzenia uprawnień w funkcji __construct we wszystkich wersjach do i włącznie z 3.6.0. Umożliwia to nieautoryzowanym atakującym odczyt dowolnych zarejestrowanych e-maili, w tym e-maili z linkami do resetowania haseł.

Risk Assessment

Podatność ta stwarza ryzyko przejęcia konta przez atakujących, którzy mogą uzyskać dostęp do wrażliwych informacji, takich jak linki do resetowania haseł. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Recommendation

Zaleca się aktualizację wtyczki Post SMTP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak monitorowanie logów i ograniczenie dostępu do wtyczki.

Original NVD description (English source)

The Post SMTP – Complete SMTP Solution with Logs, Alerts, Backup SMTP & Mobile App plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the __construct function in all versions up to, and including, 3.6.0. This makes it possible for unauthenticated attackers to read arbitrary logged emails sent through the Post SMTP plugin, including password reset emails containing password reset links, which can lead to account takeover.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS