返回
快讯

Gravity SMTP WordPress 漏洞遭利用 可能泄露 API Keys

Gravity SMTP WordPress plugin 的已修补漏洞 CVE-2026-4020 正被攻击者积极利用,未认证访问者可从 REST API 端点提取配置数据、API keys、secrets 与 OAuth tokens,并暴露网站系统信息。

CVE-2026-4020

安全研究人员发现,WordPress plugin Gravity SMTP 的一项近期修补漏洞正在被现实利用。该漏洞编号为 CVE-2026-4020,CVSS 5.3,属于中等严重性的信息泄露问题,影响约 100,000 个站点。

漏洞根源在于 REST API endpoint /wp-json/gravitysmtp/v1/tests/mock-data 的 permission_callback 无条件返回 true,导致任何未认证访客都能访问。当附加 ?page=gravitysmtp-settings 参数后,插件的 register_connector_data() 会填充内部连接器数据,使接口返回约 365 KB 的 JSON,其中包含完整 System Report。

攻击者可借此获取 PHP version、loaded extensions、web server version、document root path、database server type and version、WordPress version、active plugins、active theme、WordPress configuration details、database table names,以及配置在插件中的 API keys/tokens,例如 Amazon SES、Google、Mailjet、Resend 和 Zoho。

Wordfence 表示,攻击者已经开始发送未认证的 HTTP GET requests 到该 REST API endpoint,并结合 ?page=gravitysmtp-settings 参数提取站点信息。至今,Wordfence 已拦截超过 17 million 次针对 CVE-2026-4020 的利用尝试,活动在 2026-05 初开始,并在 2026-06-06 左右明显激增。

该漏洞已在 Gravity SMTP version 2.1.5 修复。使用受影响版本且配置了第三方 email integrations 的站点,应尽快更新,并在更新后轮换相关凭据,同时检查服务器日志中是否出现来自已知攻击 IP 的可疑请求。

关键风险

  • 未认证攻击者可直接读取敏感配置与系统报告
  • API keys、OAuth tokens 等凭据可能外泄
  • 站点邮件服务可能被滥用发送邮件
  • 攻击者可利用系统信息为后续入侵做准备
  • 已出现大规模自动化利用尝试

受影响对象

  • Gravity SMTP WordPress plugin 受影响版本
  • 约 100,000 个安装了该插件的网站
  • 配置了 Amazon SES、Google、Mailjet、Resend、Zoho 等 email integrations 的站点
  • 使用受影响 REST API endpoint 的 WordPress 站点

修复建议

  • 立即升级到 Gravity SMTP version 2.1.5
  • 轮换所有可能暴露的 API keys、secrets 和 OAuth tokens
  • 检查服务器日志中是否存在针对 /wp-json/gravitysmtp/v1/tests/mock-data 的请求
  • 重点排查来自已知攻击 IP 的异常访问
  • 确认第三方 email integrations 相关配置是否仍然安全