Злоумышленники атакуют уязвимость в WordPress-плагине Gravity SMTP, который установлен примерно на 100 000 сайтах. Проблема позволяет без аутентификации получить API-ключи, OAuth-токены, учетные данные почтовых сервисов и подробную информацию о конфигурации сервера.

Уязвимость получила идентификатор CVE-2026-4020 (5,3 балла по шкале CVSS) и затрагивает Gravity SMTP версии 2.1.4 и ниже. Разработчики плагина устранили уязвимость с выходом версии 2.1.5, еще в марте 2026 года.

Плагин Gravity SMTP помогает отправлять и отслеживать письма через сторонние сервисы, поддерживая интеграции с Amazon SES, Google, Mailjet, Resend, Zoho и другими провайдерами.

Как сообщают специалисты компании Defiant, один из эндпоинтов REST API плагина был доступен любому посетителю, а обработчик permission_callback всегда возвращал значение true и не проверял ни аутентификацию, ни права пользователя.

Чтобы эксплуатировать баг, атакующим достаточно отправить GET-запрос к адресу /wp-json/gravitysmtp/v1/tests/mock-data, добавив параметр ?page=gravitysmtp-settings. После этого плагин формировал и возвращал JSON-объект объемом порядка 365 Кбайт с полным системным отчетом. В таком ответе могли содержаться версия PHP, данные о загруженных расширениях, веб-сервере и БД, путь к корневой директории, версия WordPress, список активных плагинов и их версий, используемая тема, названия таблиц, а также ключи API, секреты и OAuth-токены почтовых интеграций.

Получив эти данные, злоумышленники могли отправлять письма от имени скомпрометированного сайта и выдавать себя за его владельца. Кроме того, подробный отчет заметно упрощает разведку: атакующие видят весь программный стек и могут подобрать подходящие уязвимости для дальнейших атак.

Хотя CVE-2026-4020 получила невысокую оценку по шкале CVSS, для ее эксплуатации не требуется ни учетная запись, ни взаимодействие с администратором ресурса. При этом утечка действующих ключей и токенов может привести к компрометации сторонних почтовых сервисов.

По данным аналитиков Defiant, атаки на эту уязвимость начались еще в начале мая 2026 года. В первых числах июня активность злоумышленников резко выросла, а 7 июня защитные решения Wordfence заблокировали более 4 млн запросов за сутки. В общей сложности было предотвращено свыше 17 млн попыток эксплуатации.

Специалисты рекомендуют администраторам немедленно обновить Gravity SMTP до версии 2.1.5, а также проверить логи веб-сервера и поискать в них обращения к уязвимому эндпоинту, особенно с параметром ?page=gravitysmtp-settings. Если на сайте использовалась уязвимая версия плагина и были настроены сторонние почтовые интеграции, связанные API-ключи, секреты и OAuth-токены следует считать скомпрометированными.