漏洞概述
GetSimple CMS 的 My SMTP Contact 插件 1.1.1 版本存在跨站请求伪造(CSRF)漏洞。攻击者可构造恶意网页,当已认证的管理员访问该页面时,可未经授权修改插件中的 SMTP 配置设置。虽然该漏洞不直接导致远程代码执行,但可能被用于篡改邮件配置,进而影响系统安全。
漏洞详情
- CVE 编号:CVE-2021-47830
- 漏洞类型:跨站请求伪造(CSRF)
- CVSS 评分:5.1(中危)
- 影响版本:GetSimple CMS My SMTP Contact Plugin 1.1.1
影响范围
该漏洞影响使用 GetSimple CMS 并安装了 My SMTP Contact 插件 1.1.1 版本的网站,尤其是允许管理员登录并配置 SMTP 设置的场景。
风险分析
攻击者可利用此 CSRF 漏洞,在管理员不知情的情况下修改 SMTP 配置,例如更改发件人邮箱、SMTP 服务器地址或认证凭据。这可能导致敏感邮件被重定向、钓鱼邮件发送或服务中断,从而破坏系统的完整性与可用性。
修复建议
- 建议用户升级至 My SMTP Contact 插件的安全版本(如有)或联系插件维护方获取补丁。
- 如无法立即升级,可临时禁用该插件,或在 Web 应用防火墙(WAF)中添加规则,阻止对相关配置接口的非预期请求。
