CVE-2023-6875

POST SMTP Mailer – Log de e-mail, notificações de falha de entrega e plugin Best Mail SMTP para WordPress para versões do WordPress até a 2.8.7, inclusive

O problema está relacionado a uma falha de tipo no endpoint REST connect-app, permitindo que invasores não autenticados redefinam a chave da API e visualizem registros, incluindo e-mails de redefinição de senha, o que pode levar à invasão do site. A vulnerabilidade está associada a falhas no procedimento de autorização, permitindo que invasores remotos obtenham acesso não autorizado a informações protegidas. Com mais de 300.000 instalações ativas, essa vulnerabilidade representa um risco significativo.

Para versões até a 2.8.7, inclusive, atualize para uma versão superior à 2.8.7 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint REST connect-app até que um patch esteja disponível. Além disso, restrinja o acesso à chave de API usada para autenticar no servidor de e-mail para minimizar o risco de exploração. Evite usar a chave de API no endpoint afetado até que o problema seja resolvido.