WordPressから送るメールを確実に届けたり、送信の記録(ログ)として残したりするためのプラグイン「Post SMTP – Complete Email Deliverability and SMTP Solution with Email Logs, Alerts, Backup SMTP & Mobile App」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 3.6.2 までのすべてのバージョンです。
本問題を悪用された場合、ログインしていない第三者が送らせたメールの内容を通じて、メールの記録を画面で開いた管理者のブラウザ上で、不正なプログラムが動作する可能性があります。
対策として、バージョン 3.6.3 以降への更新を推奨します。
脆弱性詳細
本問題は、Post SMTP の「メールログ(送信したメールの記録)」を、スマートフォン用アプリ向けに画面表示する処理で、表示する前に内容を安全な形へ変換する処理(無害化)が行われていなかったことが原因です。
そのため、メール本文などに紛れ込んだ悪意のあるプログラム(スクリプト)が、ただの文字ではなく、実際に動作するプログラムとしてブラウザに扱われてしまう可能性がありました。
想定される被害
本問題が悪用された場合、次のような被害のおそれがあります。
不正なプログラムが動くことによる影響
- メールの記録を開いた管理者のブラウザ上で、攻撃者が用意したプログラムが動作する
- 表示内容が書き換えられたり、ブラウザ上で意図しない動作が起きたりする
確認できている影響は、記録を開いた人のブラウザ内での動作にとどまります。
被害が起きる条件
次の2つが重なったときに、被害が起きる可能性があります。
- 悪意のあるプログラムを含む文字列が、サイトから送られるメールの内容に入った状態で、メールログに記録される(攻撃者はログイン不要)
- 管理者が、スマートフォン用アプリの機能で、その記録されたメールの内容を画面に開く
技術的な詳細
(ここはやや専門的な内容です。)
Post SMTP は、サイトから送ったメールを記録する「メールログ」の機能を持っています。記録される項目のうち、メール本文・送信時のサーバーとのやり取りの記録・送信結果は、受け取った内容をそのまま保存する仕組みでした(件名や宛先は、保存するときに無害化されます)。
これらの値は、本来、画面に表示するときに無害化することを前提にしています。実際、パソコンのWordPress管理画面で記録を表示する処理には、無害化が組み込まれていました。
ところが、スマートフォン用アプリ向けにメール内容を表示する処理では、この無害化が抜けていました。
なお、メール本文は「サイトのメール送信機能に渡された内容」がそのまま記録される仕組みのため、外部からの入力がメールに含まれていれば、その入力もそのまま保存されることがあります。
対策版(3.6.3)では、この表示処理に無害化が追加されました(本文は危険なプログラムを取り除く処理、やり取りの記録と送信結果は文字に変換する処理)。
脆弱性の種類
※ 保存された不正なプログラムが、あとで画面に表示されたときに動作するタイプの問題です。
推奨対応事項
該当のバージョンをお使いの場合は、以下の対応を強くおすすめします。
- プラグインの更新
- できるだけ早く、プラグインを対策バージョン(3.6.3 以降)へ更新してください。これがもっとも確実で、優先度の高い対応です。
- 不審な記録がないかの確認
- WordPress管理画面の Post SMTP →「メールログ(Email Log)」を開き、記録されたメールの内容に不審なものがないかを確認してください。
- 目安として、メール内容に次のような文字列が含まれていないかを確認してください:「<script」「onerror=」「onload=」「javascript:」など(これらは不正なプログラムでよく使われる書き方です)。
- パソコンのWordPress管理画面での表示は無害化済みのため、この確認の操作自体は安全に行えます。
- 不審な記録が見つかった場合は、その記録を削除し、必要に応じてWordPressの専門家にご相談ください。
- 追加の対策(任意)
- WAF(不正な通信を遮断する仕組み)の導入は、不正なプログラムを含む通信を防ぐのに役立ちます。ただし、本問題は対策バージョンへの更新で解消されるため、更新が最優先です。
⇒ 不審なメールの記録や、管理者が意図しない動作が確認された場合は、WordPressの専門家への相談をおすすめします。
影響を受けるバージョン
Post SMTP 3.6.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-48838 
/ RESERVED(2026年6月3日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 7.2 (重要) [Wordfence]
脆弱性脅威度(EPSS)
-
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Post SMTP プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
