リモートホストで実行されているWordPressアプリケーションには、重要な機能の認証がないためにclass-es-newsletters.phpクラスの電子メール偽造/スプーフィングの脆弱性の影響を受けるバージョンの「EmailSubscribers＆Newsletters」プラグインがあります。認証されていないリモートの攻撃者がこれを悪用し、巧妙に作りこまれたajaxリクエストを介して、利用可能な連絡先や登録者のリストにあるすべての受信者に偽装メールを送信し、メールの内容と件名を完全に制御する可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

WordPressプラグイン「EmailSubscribers & Newsletters」< 4.5.6の電子メール偽造/スプーフィングの脆弱性

medium Nessus プラグイン ID 140577

バージョン 1.6