Guus Verbeek

**Nome do software vulnerável e versões afetadas** Plugin WP Mail SMTP para versões do WordPress até a 4.0.1, inclusive **Descrição** A vulnerabilidade permite que invasores autenticados com acesso de nível administrativo ou superior visualizem a senha SMTP do servidor configurado ao acessar as configurações, uma vez que o plugin exibe a senha SMTP no campo “SMTP Password”. Essa informação pode ser útil para um invasor em um ambiente restrito caso uma conta de administrador seja comprometida. **Recomendações** Para o plugin WP Mail SMTP para versões do WordPress até a 4.0.1, inclusive, considere restringir o acesso à página de configurações SMTP para minimizar o risco de exploração até que uma correção esteja disponível. Como solução temporária, limite o acesso de nível administrativo apenas a usuários confiáveis.