Плагін Gravity SMTP для WordPress, встановлений орієнтовно на 100 000 сайтів, масово експлуатується через вразливість CVE-2026-4020 (CVSS 5.3). Попри середню оцінку за шкалою CVSS, реальна небезпека цієї вразливості значно вища за базовий бал: неавтентифікований зловмисник може одним HTTP-запитом отримати API-ключі поштових сервісів, OAuth-токени та повний системний звіт сайту. За даними Wordfence, заблоковано понад 17 мільйонів спроб експлуатації. Власникам уражених сайтів необхідно негайно оновити плагін до версії 2.1.5 і змінити всі облікові дані поштових інтеграцій.
Технічна суть вразливості
Корінь проблеми — REST API-ендпоінт, зареєстрований за шляхом /wp-json/gravitysmtp/v1/tests/mock-data. Як повідомляють дослідники Wordfence, параметр permission_callback цього ендпоінта безумовно повертає true, що повністю вимикає перевірку автентифікації. Будь-який відвідувач може звернутися до нього без жодних облікових даних.
Якщо додати параметр запиту ?page=gravitysmtp-settings, спрацьовує метод register_connector_data(), який заповнює внутрішні дані конекторів. У результаті ендпоінт повертає приблизно 365 КБ JSON-даних, що містять повний системний звіт. Обсяг розкритої інформації є критичним:
- API-ключі й токени поштових сервісів — Amazon SES, Google, Mailjet, Resend, Zoho
- Версія PHP і завантажені розширення
- Версія веб-сервера та шлях до кореневого каталогу
- Тип і версія сервера бази даних, назви таблиць
- Версія WordPress, перелік усіх активних плагінів із версіями, активна тема
- Деталі конфігурації WordPress
Фактично один неавтентифікований GET-запит надає атакувальнику повну карту технологічного стеку сайту та чинні облікові дані для зовнішніх сервісів. Це перетворює вразливість із формально середнім балом CVSS на серйозну загрозу: зловмисник отримує не просто інформацію, а робочі ключі доступу до поштової інфраструктури.
Масштаб і хронологія експлуатації
За телеметрією Wordfence, сканування вразливого ендпоінта розпочалося на початку травня 2026 року. Активність різко зросла близько 6 червня 2026 року, досягнувши піку — понад 4 000 000 запитів на день — наступної доби. Загалом Wordfence зафіксував і заблокував понад 17 мільйонів спроб експлуатації.
Атаки являють собою прості HTTP GET-запити до вразливого ендпоінта з параметром ?page=gravitysmtp-settings. Низький поріг входження — відсутність потреби в автентифікації, складних ланцюжках експлойтів чи спеціалізованих інструментах — пояснює настільки масовий характер сканування.
Індикатори компрометації
Wordfence ідентифікував такі IP-адреси як джерела атак:
- 45.148.10.95
- 45.148.10.120
- 193.32.162.60
- 176.65.148.139
- 176.65.148.30
- 173.199.90.188
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
Характерна кластеризація адрес у підмережах 185.8.106.0/24, 185.8.107.0/24, 45.148.10.0/24 і 176.65.148.0/24 вказує на використання обмеженого набору хостинг-провайдерів або VPS-інфраструктури для скоординованого сканування.
Оцінка впливу
Наслідки успішної експлуатації виходять за межі типової витоку інформації. Отримавши чинні API-ключі поштових сервісів, зловмисник може надсилати електронні листи від імені скомпрометованого сайту. Це відкриває можливості для фішингових кампаній, поширення зловмисного ПЗ через довірені домени та компрометації ділового листування.
Деталізований системний звіт — версії всіх компонентів стеку, перелік плагінів, структура бази даних — суттєво зменшує витрати на підготовку цільових атак. Атакувальник може підібрати експлойти під конкретні версії встановленого ПЗ, не проводячи додаткову розвідку.
Найбільшому ризику піддаються сайти, що використовують Gravity SMTP із налаштованими інтеграціями Amazon SES, Google Workspace, Mailjet, Resend або Zoho — саме їхні облікові дані опиняються у розкритому звіті.
Рекомендації щодо реагування
- Негайно оновіть плагін Gravity SMTP до версії 2.1.5, у якій, за даними Wordfence, вразливість усунено.
- Припускайте компрометацію, якщо плагін використовувався з налаштованими поштовими інтеграціями до оновлення. Змініть усі API-ключі й токени для Amazon SES, Google, Mailjet, Resend, Zoho та інших підключених сервісів.
- Перевірте серверні журнали на наявність GET-запитів до шляху
/wp-json/gravitysmtp/v1/tests/mock-data, особливо з параметром?page=gravitysmtp-settings. Зверніть увагу на запити з наведених вище IP-адрес. - Заблокуйте зазначені IP-адреси на рівні WAF або вебсервера.
- Перевірте журнали поштових сервісів на предмет несанкціонованого надсилання листів через скомпрометовані облікові дані.
Цей інцидент демонструє, що оцінка CVSS 5.3 не відображає реальної небезпеки, коли розкриті дані включають чинні облікові записи зовнішніх сервісів. Власникам сайтів із Gravity SMTP критично важливо не обмежуватися оновленням плагіна: без зміни всіх ключів і токенів поштових інтеграцій раніше отримані зловмисниками облікові дані залишаються дійсними й можуть використовуватися для атак незалежно від того, чи усунено саму вразливість.
