Плагин Gravity SMTP для WordPress, установленный приблизительно на 100 000 сайтов, подвергается массовой эксплуатации через уязвимость CVE-2026-4020 (CVSS 5.3). Несмотря на среднюю оценку по шкале CVSS, реальная опасность этой уязвимости значительно выше базового балла: неаутентифицированный злоумышленник может одним HTTP-запросом получить API-ключи почтовых сервисов, OAuth-токены и полный системный отчёт сайта. По данным Wordfence, заблокировано более 17 миллионов попыток эксплуатации. Владельцам затронутых сайтов необходимо немедленно обновить плагин до версии 2.1.5 и ротировать все учётные данные почтовых интеграций.
Техническая суть уязвимости
Корень проблемы — REST API-эндпоинт, зарегистрированный по пути /wp-json/gravitysmtp/v1/tests/mock-data. Как сообщают исследователи Wordfence, параметр permission_callback этого эндпоинта безусловно возвращает true, что полностью отключает проверку аутентификации. Любой посетитель может обратиться к нему без каких-либо учётных данных.
При добавлении параметра запроса ?page=gravitysmtp-settings срабатывает метод register_connector_data(), который заполняет внутренние данные коннекторов. В результате эндпоинт возвращает приблизительно 365 КБ JSON-данных, содержащих полный системный отчёт. Объём раскрываемой информации критичен:
- API-ключи и токены почтовых сервисов — Amazon SES, Google, Mailjet, Resend, Zoho
- Версия PHP и загруженные расширения
- Версия веб-сервера и путь к корневой директории
- Тип и версия сервера базы данных, имена таблиц
- Версия WordPress, список всех активных плагинов с версиями, активная тема
- Детали конфигурации WordPress
Фактически один неаутентифицированный GET-запрос предоставляет атакующему полную карту технологического стека сайта и действующие учётные данные для внешних сервисов. Это превращает уязвимость с формально средним CVSS-баллом в серьёзную угрозу: злоумышленник получает не просто информацию, а рабочие ключи доступа к почтовой инфраструктуре.
Масштаб и хронология эксплуатации
По данным телеметрии Wordfence, сканирование уязвимого эндпоинта началось в начале мая 2026 года. Активность резко возросла около 6 июня 2026 года, достигнув пика — более 4 000 000 запросов в день — на следующие сутки. Суммарно Wordfence зафиксировал и заблокировал свыше 17 миллионов попыток эксплуатации.
Атаки представляют собой простые HTTP GET-запросы к уязвимому эндпоинту с параметром ?page=gravitysmtp-settings. Низкий порог входа — отсутствие необходимости в аутентификации, сложных цепочках эксплойтов или специализированном инструментарии — объясняет столь массовый характер сканирования.
Индикаторы компрометации
Wordfence идентифицировал следующие IP-адреса как источники атак:
- 45.148.10.95
- 45.148.10.120
- 193.32.162.60
- 176.65.148.139
- 176.65.148.30
- 173.199.90.188
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
Характерная кластеризация адресов в подсетях 185.8.106.0/24, 185.8.107.0/24, 45.148.10.0/24 и 176.65.148.0/24 указывает на использование ограниченного набора хостинг-провайдеров или VPS-инфраструктуры для координированного сканирования.
Оценка воздействия
Последствия успешной эксплуатации выходят за рамки типичной утечки информации. Получив действующие API-ключи почтовых сервисов, злоумышленник может отправлять электронную почту от имени скомпрометированного сайта. Это открывает возможности для фишинговых кампаний, распространения вредоносного ПО через доверенные домены и компрометации деловой переписки.
Детализированный системный отчёт — версии всех компонентов стека, список плагинов, структура базы данных — существенно снижает затраты на подготовку целевых атак. Атакующий может подобрать эксплойты под конкретные версии установленного ПО, не проводя дополнительную разведку.
Наибольшему риску подвержены сайты, использующие Gravity SMTP с настроенными интеграциями Amazon SES, Google Workspace, Mailjet, Resend или Zoho — именно их учётные данные оказываются в раскрываемом отчёте.
Рекомендации по реагированию
- Немедленно обновите плагин Gravity SMTP до версии 2.1.5, в которой, по данным Wordfence, устранена уязвимость.
- Предполагайте компрометацию, если плагин использовался с настроенными почтовыми интеграциями до обновления. Ротируйте все API-ключи и токены для Amazon SES, Google, Mailjet, Resend, Zoho и других подключённых сервисов.
- Проверьте серверные логи на наличие GET-запросов к пути
/wp-json/gravitysmtp/v1/tests/mock-data, особенно с параметром?page=gravitysmtp-settings. Обратите внимание на запросы с перечисленных выше IP-адресов. - Заблокируйте указанные IP-адреса на уровне WAF или веб-сервера.
- Проверьте журналы почтовых сервисов на предмет несанкционированной отправки писем через скомпрометированные учётные данные.
Данный инцидент демонстрирует, что оценка CVSS 5.3 не отражает реальной опасности, когда раскрываемые данные включают действующие учётные записи внешних сервисов. Владельцам сайтов с Gravity SMTP критически важно не ограничиваться обновлением плагина: без ротации всех ключей и токенов почтовых интеграций ранее извлечённые злоумышленниками учётные данные остаются валидными и могут использоваться для атак независимо от того, закрыта ли сама уязвимость.
