El plugin WP Mail SMTP para WordPress es vulnerable a la exposición de información en todas las versiones hasta, e incluyendo, la 4.0.1. Esto se debe a que el plugin proporciona la contraseña SMTP en el campo de Contraseña SMTP al ver la configuración. Esto hace posible que atacantes autenticados, con acceso de nivel administrativo y superior, vean la contraseña SMTP para el servidor suministrado.
La vulnerabilidad CVE-2024-6694 en el plugin WP Mail SMTP permite que atacantes autenticados con privilegios administrativos accedan a la contraseña SMTP. Aunque en la mayoría de los casos esta información no sería útil para los atacantes, si una cuenta de administrador se ve comprometida, esta información podría ser útil para un atacante en un entorno limitado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar las configuraciones para evitar la exposición de contraseñas.
Es importante mantener los plugins actualizados y revisar regularmente la seguridad de WordPress para proteger la información sensible, como contraseñas SMTP, de posibles exposiciones no deseadas.