WordPressでSMTP経由のメール送信を設定するプラグイン「SMTP Mailer」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 1.1.24 までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、プラグインに設定されているSMTPサーバーへの接続用ユーザー名・パスワードが取得される可能性があります。
対策として、バージョン 1.1.25 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、SMTP通信の内容を詳細に記録するデバッグ出力機能において、その実行を管理者に限定するための権限確認が実装されていなかったことに起因します。
その結果、外部からのリクエストによってデバッグ出力が有効化され、SMTPサーバーとの通信内容がブラウザに返される状態となっていました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
SMTPサーバーへの接続情報の漏洩
- プラグインに設定されたSMTPサーバーのユーザー名・パスワードが、第三者に取得される可能性があります。
- 取得された情報が悪用された場合、SMTPアカウントから不正にメールが送信されるおそれがあります。
被害発生の条件
インターネット上からサイトにアクセスできる状態であれば、ログインや特別な操作を必要とせず攻撃が成立します。
技術的な詳細
本脆弱性の原因は、デバッグ出力を制御する処理に管理者権限を確認するコードが存在しなかった点です。本来この機能は管理者が動作確認を行う目的のものですが、権限確認がなかったため外部からでも有効化できる状態でした。
このデバッグ出力にはSMTP認証の過程(ユーザー名・パスワードのやり取り)が含まれます。対策バージョンでは管理者権限の確認処理が追加され、管理者以外はデバッグ出力が有効化されないよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.1.25 以降)へ更新してください。
- SMTPアカウントの不審なアクティビティ確認とパスワード変更
- 念のため、以下をご確認ください。
- ご利用のSMTPサービス(Gmail等)の管理画面で、身に覚えのないログイン履歴や不審な送信記録がないか確認してください。
- 不審な記録が確認された場合、または念のためのセキュリティ対策として、SMTPアカウントのパスワードを変更してください。
⇒不審なログインや意図しないメール送信が確認された場合は、SMTPサービスのサポート窓口またはWordPressの専門家への相談を推奨します。
影響を受けるバージョン
SMTP Mailer 1.1.24 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-32538 
(公開日 2026年3月25日 更新日 2026年3月25日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-32538 悪用確率 0.03% (上位91%) 2026年3月30日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
SMTP Mailer プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
