Администраторам WordPress-сайтов с установленным Gravity SMTP стоит срочно проверить версию плагина и журналы доступа. По данным BleepingComputer, злоумышленники активно эксплуатируют уязвимость раскрытия информации CVE-2026-4020 в Gravity SMTP — популярном плагине, который используется примерно на 100 тысячах сайтов.
Проблема затрагивает версии 2.1.4 и ниже. Исправление вышло в Gravity SMTP 2.1.5 ещё 17 марта, но свежая волна эксплуатации показывает, что значительная часть сайтов могла остаться без обновления. Уязвимость получила среднюю оценку серьёзности, однако её практический риск выше обычного: для атаки не требуется учётная запись на сайте.
Как описывает Wordfence, причина в REST API endpoint плагина: его permission_callback всегда возвращал true, из-за чего неавторизованный GET-запрос мог получить JSON-отчёт System Report. В таком отчёте могут присутствовать API-ключи, секреты и OAuth-токены почтовых интеграций, включая Amazon SES, Google, Mailjet, Resend и Zoho, а также сведения о конфигурации WordPress, установленных плагинах, темах, версиях ПО и деталях базы данных.
Wordfence заявила, что её firewall заблокировал более 17 млн попыток эксплуатации. Пик активности пришёлся на 7 июня, когда было отражено около 4 млн запросов за день. Ключевой индикатор компрометации — обращения к пути /wp-json/gravitysmtp/v1/tests/mock-data, особенно с параметром ?page=gravitysmtp-settings в access logs.
Для владельцев сайтов главный риск — утечка живых ключей почтовых сервисов и подробной карты программного стека. Это может упростить дальнейшие атаки, позволить рассылку от имени жертвы или подготовку более точного взлома через другие компоненты WordPress. Рекомендуется обновить Gravity SMTP до версии 2.1.5 или новее, отозвать и перевыпустить ключи почтовых интеграций, проверить журналы на признаки эксплуатации и заблокировать источники подозрительных запросов.
Источник: BleepingComputer, 19 июня 2026