CVE-2026-2559 in Post SMTP Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يحتوي إضافة Post SMTP لـ WordPress على ثغرة تسمح بتعديل البيانات بشكل غير مصرح به بسبب غياب فحص الصلاحيات (capability check) في الدالة `handle_office365_oauth_redirect()` في جميع الإصدارات حتى 3.8.0 شاملاً. ويعود ذلك إلى ربط الدالة بحدث `admin_init` دون أي تحقق من `current_user_can()` أو التحقق من صحة الـ nonce. وهذا يتيح للمهاجمين المصادق عليهم، والذين يمتلكون وصولاً بمستوى "Subscriber" فأعلى، الكتابة فوق إعدادات البريد OAuth الخاصة بـ Office 365 للموقع (رمز الوصول، رمز التحديث، وبريد المستخدم الإلكتروني) عبر عنوان URL مُعدّ بعناية. يُستخدم خيار التكوين هذا أثناء إعداد المعالج (wizard) لـ Microsoft365 SMTP، وهو متاح فقط في الخيار الاحترافي (Pro) للإضافة. قد يؤدي ذلك إلى إقناع مسؤول النظام بأن تطبيق Azure الذي يتحكم فيه المهاجم هو تطبيقه الخاص، مما يدفعه إلى ربط الإضافة بحساب المهاجم أثناء التكوين بعد الترقية إلى النسخة الاحترافية.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

15/02/2026

إفشاء

18/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-351538

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.00040

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-2559
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-2559
CVE Details	https://www.cvedetails.com/cve/CVE-2026-2559/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!