30 марта 2026 года исследователи Wordfence публично раскрыли уязвимость Sensitive Information Exposure в плагине Gravity SMTP для WordPress. Продукт, оцениваемый примерно в 100 000 активных установок, позволял неаутентифицированным атакующим извлекать детальные системные конфигурации сайта. Наибольшую опасность представляло получение API-ключей, секретов и OAuth-токенов, настроенных для почтовых интеграций плагина. Разработчик выпустил полностью исправленную версию 2.1.5 ещё 17 марта 2026 года, а Wordfence добавила запись об уязвимости в свою базу данных 30 марта с присвоением идентификатора CVE-2026-4020. Несмотря на это, волна эксплуатации началась спустя несколько месяцев.
Описание
Уязвимость затрагивает все версии Gravity SMTP до 2.1.4 включительно. Причина кроется в REST API-эндпоинте, зарегистрированном по пути /wp-json/gravitysmtp/v1/tests/mock-data. Код регистрации содержит permission_callback, который безусловно возвращает true - любое обращение к этому адресу считается разрешённым, независимо от наличия аутентификации. Когда к запросу добавляется параметр ?page=gravitysmtp-settings, плагин вызывает метод register_connector_data(), заполняющий внутренние данные коннекторов для построения экрана настроек. В результате эндпоинт возвращает JSON-объект размером примерно 365 Кбайт, содержащий полный системный отчёт.
Этот отчёт включает широкий спектр конфиденциальной информации: версию PHP и загруженные расширения, версию веб-сервера и путь к корневому каталогу документа, тип и версию сервера базы данных, версию WordPress и детали конфигурации, перечень всех активных плагинов с их версиями, активную тему, имена таблиц базы данных. Однако критичным является наличие API-ключей, секретов и OAuth-токенов, настроенных для почтовых служб интеграций - Amazon SES, Google, Mailjet, Resend, Zoho. Таким образом, злоумышленник получает готовые учётные данные, позволяющие отправлять электронные письма от имени сайта, а также детальную разведку для поиска других уязвимостей.
По данным Wordfence, эксплуатация уязвимости тривиальна - достаточно одного неаутентифицированного GET-запроса. Предоставленный анализ атак показывает, что в конце весны - начале лета 2026 года активность злоумышленников резко возросла. Файрвол Wordfence заблокировал более 17 миллионов попыток эксплуатации. Наибольший всплеск произошёл 7 июня 2026 года, когда за одни сутки было отражено свыше 4 миллионов атак. Высокая интенсивность сохранялась с 7 по 11 июня - ежедневно фиксировались миллионы попыток.
Эксплуатация не оставляет очевидных следов на сайте, так как уязвимость только отдаёт данные без модификации. Рекомендуется проверять логи веб-сервера на наличие запросов к пути /wp-json/gravitysmtp/v1/tests/mock-data с параметром ?page=gravitysmtp-settings. Если на сайте использовались версии Gravity SMTP ниже 2.1.5 и были настроены сторонние почтовые интеграции (Amazon SES, Google, Mailjet, Resend, Zoho), следует считать их учётные данные скомпрометированными. После обновления плагина до актуальной версии 2.1.5 необходимо немедленно сменить все API-ключи, секреты и OAuth-токены, ротировав их у соответствующих провайдеров.
Тенденция показывает, что даже уязвимости среднего уровня критичности могут стать мишенью для массовых атак, если они предоставляют доступ к ценным данным. Разработчикам плагинов следует уделять внимание проверке permission_callback в каждом REST-маршруте, а владельцам сайтов - своевременно обновлять все компоненты, особенно те, что имеют доступ к внешним сервисам. Наличие 17 миллионов заблокированных попыток за несколько недель говорит о том, что атакующие активно сканируют сеть в поисках незащищённых экземпляров Gravity SMTP.
Индикаторы компрометации
IPv4
- 173.199.90.188
- 176.65.148.139
- 176.65.148.30
- 185.8.106.145
- 185.8.106.37
- 185.8.106.92
- 185.8.107.155
- 193.32.162.60
- 45.148.10.120
- 45.148.10.95
