一、 漏洞 CVE-2019-25141 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Easy WP SMTP插件在WordPress中存在授权绕过漏洞,该漏洞影响版本1.3.9及之前版本。

## 影响版本
- 1.3.9及之前版本

## 细节
该漏洞是由于`admin_init()`函数中缺少权限检查以及输入验证不足导致。这使得未经过身份验证的攻击者能够修改插件设置,并对网站上的任意选项进行操作,从而用于注入新的管理员账户。

## 影响
攻击者可以修改插件设置和网站上的任意选项,可能导致注入新的管理员账户,从而完全控制网站。
                                        
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Easy WP SMTP plugin for WordPress is vulnerable to authorization bypass in versions up to, and including, 1.3.9. This is due to missing capability checks on the admin_init() function, in addition to insufficient input validation. This makes it possible for unauthenticated attackers to modify the plugins settings and arbitrary options on the site that can be used to inject new administrative user accounts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress Plugin Easy WP SMTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress Plugin Easy WP SMTP 存在安全漏洞,该漏洞源于缺少对 admin_init() 函数的功能检查,以及输入验证不足。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-25141 的公开POC
# POC 描述 源链接 神龙链接
1 The Easy WP SMTP plugin for WordPress is vulnerable to authorization bypass in versions up to, and including, 1.3.9. This is due to missing capability checks on the admin_init() function, in addition to insufficient input validation. This makes it possible for unauthenticated attackers to modify the plugins settings and arbitrary options on the site that can be used to inject new administrative user accounts. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-25141.yaml POC详情
三、漏洞 CVE-2019-25141 的情报信息