Pluginul SMTP pentru WordPress este exploatat activ
Sursă: https://cybersecuritynews.com
Persoanele rău inteționate exploatează în mod activ o vulnerabilitate care duce la expunerea informațiilor sensibile în pluginul Gravity SMTP pentru WordPress, vizând în mod activ peste 100.000 de site-uri pentru a colecta date de configurare și date de autentificare active pentru e-mail.
Vulnerabilitatea, înregistrată ca CVE‑2026‑4020, afectează toate versiunile Gravity SMTP până la 2.1.4 inclusiv și este în prezent exploatată la scară largă prin intermediul unei infrastructuri de adrese IP distribuite în mai multe regiuni.
Furnizorul a lansat discret o remediere pe 17 martie 2026, odată cu versiunea 2.1.5 a Gravity SMTP, dar dezvăluirea publică a avut loc abia pe 30 martie 2026, lăsând expusă o mare parte din site-urile care nu au fost actualizate în săptămânile intermediare.
La baza problemei se află un endpoint REST API înregistrat la adresa /wp-json/gravitysmtp/v1/tests/mock-data, cu o funcție de callback pentru permisiuni care returnează necondiționat valoarea true, ceea ce înseamnă că endpoint-ul nu efectuează nicio autentificare sau verificare a capacităților și este accesibil oricărui vizitator neautentificat.
Atunci când o cerere include parametrul de interogare page=gravitysmtp-settings, logica de colectare a configurației pluginului încarcă datele conectorului său intern. Aceasta returnează un Raport de Sistem în format JSON de aproximativ 365 KB, care conține metadate detaliate despre sistem și plugin.
Acest raport de sistem dezvăluie versiunea și extensiile PHP, versiunea serverului web și directorul rădăcină al documentelor, tipul și versiunea bazei de date, versiunea WordPress și detaliile de configurare, tema activă, lista tuturor pluginurilor active cu versiunile acestora, precum și numele tabelelor interne ale bazei de date.
Un aspect critic este faptul că acesta include, de asemenea, orice key API, secrete și token-uri OAuth configurate pentru integrările de e-mail ale Gravity SMTP, inclusiv furnizori precum Amazon SES, Google, Mailjet, Resend și Zoho, oferind atacatorilor tot ce au nevoie pentru a trimite e-mailuri prin canale legitime deținute de utilizator.
Această combinație între informațiile detaliate obținute în urma observării și expunerea datelor de autentificare reduce semnificativ efortul necesar pentru a exploata în lanț vulnerabilități suplimentare sau pentru a avansa către compromiterea pe scară mai largă a conturilor.
Exploatarea este extrem de simplă: un atacator trebuie doar să trimită o singură cerere GET neautentificată, cum ar fi GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings HTTP/1.1, și să analizeze datele JSON rezultate.
Wordfence raportează că vulnerabilitatea Gravity SMTP este în prezent exploatată pe scară largă, cu peste 17 milioane de tentative de atac blocate și o creștere semnificativă a activității între 7 și 11 iunie 2026, ajungând la câteva milioane de cereri pe zi.
Detectarea exploatării reprezintă o provocare, deoarece vulnerabilitatea este de tip read-only și nu modifică direct conținutul site-ului, utilizatorii sau fișierele.
În schimb, administratorii ar trebui să verifice jurnalele de acces ale serverului web pentru a identifica eventualele accesări ale căii /wp-json/gravitysmtp/v1/tests/mock-data, în special cererile care conțin page=gravitysmtp-settings, și să le coreleze cu timestamp-urile, user agents și adresele IP cunoscute ca fiind malițioase.
Remedierea necesită o combinație de aplicare a patch-urilor, rotirea datelor de autentificare și consolidarea securității la nivel de rețea. Administratorii site-urilor trebuie să actualizeze Gravity SMTP la versiunea 2.1.5 sau o versiune ulterioară, care remediază comportamentul vulnerabil al API REST.
Sursă: https://cybersecuritynews.com/hackers-exploiting-wordpress-smtp-plugin/
