SMTP for Sendinblue – YaySMTP <= 1.1.1 - Unauthenticated Stored Cross-Site Scripting via Email Logs 漏洞信息(CVE-2025-0953)

一、漏洞 CVE-2025-0953 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Sendinblue邮件发送插件YaySMTP <= 1.1.1版本存在未认证的存储型跨站脚本漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress插件Sendinblue – YaySMTP的SMTP功能在版本1.1.1及之前存在存储型跨站脚本漏洞。由于该插件在处理输入时存在不足的输入净化和输出转义，使得未经认证的攻击者能够注入任意的Web脚本。这些脚本会在用户访问被注入页面时被执行。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：AIGC 神龙大模型

漏洞标题

SMTP for Sendinblue – YaySMTP <= 1.1.1 - Unauthenticated Stored Cross-Site Scripting via Email Logs

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The SMTP for Sendinblue – YaySMTP plugin for WordPress is vulnerable to Stored Cross-Site Scripting in versions up to, and including, 1.1.1 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-0953 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-0953 的情报信息

标题： SMTP for Sendinblue – YaySMTP <= 1.1.1 - Unauthenticated Stored Cross-Site Scripting via Email Logs -- 🔗来源链接

标签：
标题： SMTP for Sendinblue – YaySMTP – WordPress plugin | WordPress.org -- 🔗来源链接

标签：
标题： Utils.php in smtp-sendinblue/trunk/includes/Helper – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： Functions.php in smtp-sendinblue/trunk/includes – WordPress Plugin Repository -- 🔗来源链接

标签：
标题： Changeset 3234379 – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-0953