- Atacatorii exploatează o vulnerabilitate de tip information disclosure în pluginul WordPress Gravity SMTP, activ pe 100.000 de site-uri, pentru a fura chei API și token-uri OAuth.
O vulnerabilitate de securitate descoperită recent în pluginul WordPress Gravity SMTP, instalat pe aproximativ 100.000 de site-uri, permite atacatorilor neautentificați să extragă informații sensibile precum chei API, secrete și token-uri OAuth. Exploatarea activă a acestei breșe a fost deja observată, ceea ce impune o reacție rapidă din partea administratorilor de site-uri.
Detalii tehnice ale vulnerabilității
Identificată ca CVE-2026-4020 și evaluată cu un scor CVSS de 5.3 (severitate medie), vulnerabilitatea de tip information disclosure este prezentă în toate versiunile pluginului Gravity SMTP anterioare patch-ului lansat recent. Atacatorii pot trimite cereri HTTP special construite pentru a accesa datele de configurație ale pluginului, inclusiv string-urile de conectare la serviciile SMTP, cheile API ale unor furnizori terți și token-urile OAuth. (Sursa: BleepingComputer, The Hacker News)
Gravity SMTP este un plugin popular care permite site-urilor WordPress să trimită email-uri prin intermediul unor servicii SMTP externe, cum ar fi SendGrid, Mailgun sau Amazon SES. Din cauza modului de stocare a configurației, exploatarea cu succes a vulnerabilității poate oferi atacatorilor acces la resurse valoroase care pot fi folosite ulterior pentru atacuri de phishing, spam sau compromiterea altor servicii.
Impactul exploatării în scenarii reale
Conform rapoartelor, atacatorii au început deja să scaneze site-urile vulnerabile și să extragă datele expuse. Cheile API furate pot fi folosite pentru a trimite email-uri în numele site-ului vizat sau pentru a accesa serviciile asociate (de exemplu, conturile de email marketing). Token-urile OAuth pot oferi acces persistent la aplicații terțe, amplificând riscul de compromitere în lanț.
Deși vulnerabilitatea este clasificată ca medie, exploatarea ei activă și ușurința de a obține date sensibile o fac critică pentru orice site care folosește acest plugin.
Cum să te protejezi
Prima și cea mai importantă măsură este actualizarea pluginului Gravity SMTP la cea mai recentă versiune, care conține patch-ul pentru CVE-2026-4020. Administratorii ar trebui să verifice imediat dacă pluginul este actualizat și, dacă nu, să aplice update-ul manual.
De asemenea, se recomandă:
- Rotirea tuturor cheilor API și token-urilor OAuth care au fost configurate prin Gravity SMTP, deoarece ar fi putut fi compromise.
- Revizuirea log-urilor de acces pentru a identifica eventuale încercări de exploatare.
- Implementarea unui firewall pentru aplicații web (WAF) care să blocheze cererile malitioase.
Ce înseamnă pentru tine
Dacă administrezi un site WordPress cu Gravity SMTP, acționează acum pentru a preveni scurgeri de date. Actualizează imediat pluginul și schimbă toate cheile secrete asociate. Pentru dezvoltatorii de pluginuri, acest incident reamintește importanța stocării sigure a datelor de configurare și a validării accesului la acestea.
Utilizatorii finali (vizitatorii site-ului) nu sunt direct afectați, însă un site compromis poate fi folosit pentru atacuri de phishing împotriva lor. Fiți vigilenți la email-urile suspecte primite de la site-uri pe care le folosiți.