[NicolasCoolman]

Deux Failles dans WordPress POST SMTP Mailer.

Il est recommandé de mettre à jour en urgence le plugin POST SMTP Mailer de WordPress vers la version 2.8.8 ou ultérieure. Plus de 150 000 sites WordPress menacés de rachat via un plugin vulnérable. Deux vulnérabilités impactant le plugin WordPress POST SMTP Mailer, un outil d'envoi de courrier électronique utilisé par 300 000 sites Web, pourraient aider les attaquants à prendre le contrôle total de l'authentification d'un site.
(Lire la suite)

[NicolasCoolman]

CVE-2023-6875, Un défaut de contrôle de la clé API dans le plugin POST SMTP Mailer de WordPress permet à un attaquant non authentifié, en réinitialisant le jeton d’authentification, de contourner le processus d’authentification, et de porter atteinte à la confidentialité et l’intégrité des données.

Le plug-in POST SMTP Mailer – Email log, Delivery Failure Notifications et Best Mail SMTP for WordPress pour WordPress est vulnérable à l’accès non autorisé aux données et à la modification des données en raison d’un problème de jonglage de type sur le point de terminaison REST de l’application de connexion dans toutes les versions jusqu’à, et incluant, la 2.8.7. Cela permet aux attaquants non authentifiés de réinitialiser la clé API utilisée pour s’authentifier auprès du logiciel de messagerie et d’afficher les journaux, y compris les e-mails de réinitialisation de mot de passe, permettant ainsi la prise de contrôle du site.