Уразливість витоку конфіденційної інформації в плагіні Gravity SMTP для WordPress
Виявлено уразливість у плагіні Gravity SMTP для WordPress, що дозволяє неавторизованим користувачам отримати конфіденційну інформацію системи.
- CVSS
- 7.5 HIGH
- EPSS
- 98.44%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Gravity SMTP для WordPress версій до 2.1.4 включно має уразливість, що дозволяє неавторизованим користувачам отримати доступ до детальної системної інформації через REST API. Це включає версії PHP, веб-сервера, активні плагіни, теми та конфігурації WordPress.
Бізнес-вплив
Уразливість може призвести до витоку конфіденційних даних про конфігурацію системи, що підвищує ризик подальших атак, таких як цілеспрямоване проникнення або експлуатація інших вразливостей. Власники інфраструктури повинні враховувати можливість компрометації через розкриття внутрішніх деталей системи.
Рекомендовані дії адміністратора
Рекомендується оновити плагін Gravity SMTP до останньої версії, перевірити наявність патчів від розробника, обмежити доступ до REST API, провести аудит логів на предмет підозрілої активності та мінімізувати експозицію сервісів. Важливо також регулярно переглядати налаштування безпеки WordPress та встановлених плагінів.