CVE-2026-2559 in Post SMTP Plugininfo

Zusammenfassung

von VulDB • 26.05.2026

Das Post SMTP-Plugin für WordPress ist in allen Versionen bis einschließlich 3.8.0 anfällig für unbefugte Datenmanipulation aufgrund einer fehlenden Berechtigungsprüfung in der Funktion `handle_office365_oauth_redirect()`. Dies liegt daran, dass die Funktion an `admin_init` gebunden ist, ohne dass eine `current_user_can()`-Prüfung oder eine Nonce-Verifizierung erfolgt. Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, die Office 365 OAuth-Mailkonfiguration der Website (Zugriffstoken, Aktualisierungstoken und Benutzer-E-Mail-Adresse) durch eine manipulierte URL zu überschreiben. Die Konfigurationsoption wird während der Assistenten-Einrichtung von Microsoft365 SMTP verwendet, die nur in der Pro-Version des Plugins verfügbar ist. Dies kann dazu führen, dass ein Administrator glaubt, eine vom Angreifer kontrollierte Azure-App gehöre ihm, und ihn dazu verleitet, das Plugin während der Konfiguration nach dem Upgrade auf die Pro-Version mit dem Konto des Angreifers zu verbinden.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

15.02.2026

Veröffentlichung

18.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351538

CPE

bereit

EPSS

0.00040

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2559
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2559
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2559/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!