The Gravity SMTP plugin for WordPress is vulnerable to Missing Authorization in versions up to, and including, 2.1.4. This is due to the plugin not properly verifying that a user is authorized to perform an action. This makes it possible for authenticated attackers, with subscriber-level access and above, to uninstall and deactivate the plugin and delete plugin options. NOTE: This vulnerability is also exploitable via a Cross-Site Request Forgery vector.
The Gravity SMTP WordPress plugin versions up to 2.1.4 lack proper authorization checks, allowing authenticated subscribers to uninstall the plugin and delete its options. This vulnerability can be exploited via CSRF attacks, posing risks to WordPress sites using this email functionality plugin.
يعاني مكون Gravity SMTP لـ WordPress من نقص في فحوصات التفويض المناسبة في الإصدارات حتى 2.1.4. يمكن للمستخدمين المصرحين على مستوى المشترك وما فوقه إلغاء تثبيت المكون وحذف خياراته دون تفويض صريح. يمكن استغلال هذه الثغرة أيضاً عبر هجمات تزييف طلبات موقع متقاطع (CSRF).
يفتقر مكون Gravity SMTP لـ WordPress في الإصدارات حتى 2.1.4 إلى فحوصات التفويض المناسبة، مما يسمح للمشتركين المصرحين بإلغاء تثبيت المكون وحذف خياراته. يمكن استغلال هذه الثغرة من خلال هجمات CSRF، مما يشكل مخاطر على مواقع WordPress التي تستخدم مكون البريد الإلكتروني هذا.
Update Gravity SMTP plugin to version 2.1.5 or later immediately. Implement principle of least privilege by restricting plugin management capabilities to administrator roles only. Enable CSRF protection tokens and implement additional authorization checks for sensitive plugin operations.
قم بتحديث مكون Gravity SMTP إلى الإصدار 2.1.5 أو أحدث فوراً. طبق مبدأ أقل صلاحية بتقييد إمكانيات إدارة المكونات لأدوار المسؤول فقط. فعّل رموز حماية CSRF وطبق فحوصات تفويض إضافية للعمليات الحساسة في المكون.