Vulnerabilities ›

CVE-2026-4162

High

CWE-862 — Weakness Type

                    Published: Apr 10, 2026                      ·  Modified: Apr 17, 2026                      ·  Source: NVD                

CVSS v3

7.1

🔗 NVD Official

📄 Description (English)

The Gravity SMTP plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 2.1.4. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to uninstall and deactivate the plugin and delete plugin options. NOTE: This vulnerability is also exploitable via a Cross-Site Request Forgery vector.

🤖 AI Executive Summary

The Gravity SMTP WordPress plugin versions up to 2.1.4 lack proper authorization checks, allowing authenticated subscribers to uninstall the plugin and delete its options. This vulnerability can be exploited via CSRF attacks, posing risks to WordPress sites using this email functionality plugin.

📄 Description (Arabic)

يعاني مكون Gravity SMTP لـ WordPress من نقص في فحوصات التفويض المناسبة في الإصدارات حتى 2.1.4. يمكن للمستخدمين المصرحين على مستوى المشترك وما فوقه إلغاء تثبيت المكون وحذف خياراته دون تفويض صريح. يمكن استغلال هذه الثغرة أيضاً عبر هجمات تزييف طلبات موقع متقاطع (CSRF).

🤖 ملخص تنفيذي (AI)

يفتقر مكون Gravity SMTP لـ WordPress في الإصدارات حتى 2.1.4 إلى فحوصات التفويض المناسبة، مما يسمح للمشتركين المصرحين بإلغاء تثبيت المكون وحذف خياراته. يمكن استغلال هذه الثغرة من خلال هجمات CSRF، مما يشكل مخاطر على مواقع WordPress التي تستخدم مكون البريد الإلكتروني هذا.

🤖 AI Intelligence Analysis Analyzed: May 9, 2026 07:12

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1548 T1548.002 T1548.004

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update Gravity SMTP plugin to version 2.1.5 or later immediately. Implement principle of least privilege by restricting plugin management capabilities to administrator roles only. Enable CSRF protection tokens and implement additional authorization checks for sensitive plugin operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Gravity SMTP إلى الإصدار 2.1.5 أو أحدث فوراً. طبق مبدأ أقل صلاحية بتقييد إمكانيات إدارة المكونات لأدوار المسؤول فقط. فعّل رموز حماية CSRF وطبق فحوصات تفويض إضافية للعمليات الحساسة في المكون.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://www.gravityforms.com/brand-new-release-gravity-smtp-2-1-5/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/0f9d18a4-262b-4011-91e9-b29a2...

security@wordfence.com

📊 CVSS Score

7.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.1

CWECWE-862

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-04-10

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-4162

💬 Comments

Introduce Yourself

Sign In Required