Хакеры массово используют уязвимость Gravity SMTP для кражи API-ключей с 100,000 сайтов WordPress

      TL;DRWordfence заблокировал более 17 миллионов попыток эксплуатации уязвимости Gravity SMTP, которая утечет API-ключи и системные данные с сайтов WordPress без аутентификации.

      Злоумышленники активно используют уязвимость в плагине Gravity SMTP для WordPress, которая раскрывает API-ключи, токены OAuth и подробные данные о конфигурации системы любому, кто отправляет один неаутентифицированный HTTP-запрос. Wordfence, компания по безопасности WordPress, принадлежащая Defiant, сообщает, что с начала активности в начале мая 2026 года она заблокировала более 17 миллионов попыток эксплуатации этой уязвимости. Плагин установлен примерно на 100 000 сайтах WordPress.

      Уязвимость, отслеживаемая как CVE-2026-4020 и оцененная в 5.3 по шкале CVSS от Wordfence, затрагивает все версии Gravity SMTP до 2.1.4. Патч был выпущен в версии 2.1.5 17 марта 2026 года, но эксплуатация не началась до примерно двух месяцев спустя, что предполагает, что злоумышленники провели реверс-инжиниринг исправления или независимо обнаружили уязвимость после того, как патч привлек к ней внимание.

      Коренная причина заключается в конечной точке REST API, зарегистрированной по адресу /wp-json/gravitysmtp/v1/tests/mock-data с функцией permission_callback, которая безусловно возвращает true. Это означает, что перед обработкой запроса сервером не выполняется проверка аутентификации. Когда злоумышленник добавляет параметр запроса ?page=gravitysmtp-settings, метод register_connector_data() плагина заполняет внутренние данные соединителя, и конечная точка возвращает примерно 365 КБ JSON, содержащего полный системный отчет сайта.

      Утеченные данные включают API-ключи, секреты и токены OAuth для каждой интеграции электронной почты, настроенной в плагине. Gravity SMTP поддерживает Amazon SES, Google, Mailjet, Resend и Zoho, и учетные данные для любой из этих служб появляются в ответе, если они были настроены. Злоумышленник, который получает эти учетные данные, может отправлять электронные письма от имени скомпрометированного сайта, что полезно для фишинговых кампаний и компрометации бизнес-электронной почты.

      Системный отчет также содержит версию WordPress, версию PHP и загруженные расширения, версию веб-сервера, путь к корневому документу, тип и версию сервера базы данных, все активные плагины с их номерами версий, активную тему и имена таблиц базы данных. Эта информация дает злоумышленникам подробную карту программного стека сайта, значительно снижая усилия по разведке, необходимые для планирования последующих атак на известные уязвимости в конкретных версиях плагинов или серверов.

      «Утечка живых учетных данных сторонних API означает, что злоумышленник может злоупотребить подключенными к сайту службами электронной почты, в то время как подробный системный отчет значительно снижает усилия, необходимые для планирования дальнейших атак на сайт», - написали исследователи Wordfence в своем уведомлении.

      Объем эксплуатации резко возрос около 6 июня 2026 года, когда Wordfence заблокировал более 4 миллионов запросов за один день 7 июня. Атакующий трафик в основном поступал из кластера IP-адресов, которые Wordfence опубликовал для администраторов, чтобы добавить их в черные списки. Ключевым индикатором компрометации являются запросы к /wp-json/gravitysmtp/v1/tests/mock-data в журналах доступа веб-сервера, особенно те, которые содержат параметр запроса ?page=gravitysmtp-settings.

      CrowdSec, платформа разведки угроз с открытым исходным кодом, независимо подтвердила временные рамки. Она развернула обнаружение для CVE-2026-4020 22 мая и наблюдала первую реальную эксплуатацию 27 мая. К 1 июня активность была классифицирована как фоновый шум, что указывает на то, что она была интегрирована в автоматизированные сканирующие процедуры, которые охватывают сайты WordPress в большом масштабе.

      Скорость, с которой была индустриализирована эксплуатация, отражает более широкую тенденцию в безопасности плагинов WordPress. Уязвимость не требует аутентификации, нацелена на широко установленный плагин и возвращает ценные данные в одном GET-запросе, что делает автоматизацию тривиальной. Экосистема плагинов WordPress столкнулась с повторяющимися компрометациями цепочки поставок в 2026 году, включая атаку, в которой 30 плагинов, купленных на Flippa, были с бэкдорами и оставались неактивными в течение восьми месяцев до активации.

      Уязвимость Gravity SMTP отличается от этих атак цепочки поставок тем, что она не включает вредоносный код, внедренный скомпрометированным разработчиком. Это простая ошибка кодирования, функция обратного вызова разрешений, которая должна была проверить учетные данные запрашивающего пользователя, но вместо этого возвращала true для каждого запроса. Простота уязвимости делает ее выживание через разработку, проверку и выпуск примечательным.

      Утечка учетных данных API особенно опасна, потому что эти учетные данные часто сохраняются даже после обновления плагина. Обновление до версии 2.1.5 закрывает уязвимую конечную точку, но не отзывает и не ротацию API-ключей, которые могли быть уже собраны. Кража учетных данных через программные уязвимости является ускоряющейся проблемой в отрасли, и недавние исследования показывают, что утеченные учетные данные API эксплуатируются в течение нескольких минут после обнаружения.

      Уведомление Wordfence призывает владельцев сайтов, использующих уязвимую версию Gravity SMTP, которые настроили сторонние интеграции электронной почты, предполагать компрометацию. Рекомендуемое решение - обновить плагин до версии 2.1.5 или более поздней, а затем немедленно изменить все API-ключи, секреты и токены OAuth, настроенные в соединителях электронной почты плагина. Администраторы также должны просмотреть журналы сервера на предмет запросов от опубликованных IP-адресов злоумышленников.

      CVE был опубликован 31 марта 2026 года, через две недели после выпуска патча. Несмотря на трехмесячный промежуток между доступностью патча и пиком эксплуатации, многие сайты остаются уязвимыми. Разрыв между моментом, когда патчи становятся доступными, и моментом, когда организации их развертывают, является одной из самых устойчивых проблем в безопасности программного обеспечения, и плагины WordPress особенно подвержены этому, потому что многие операторы сайтов не отслеживают журналы изменений плагинов или не включают автоматические обновления.

      Wordfence также выпустил отдельное уведомление на этой неделе для CVE-2026-8713, критической уязвимости неаутентифицированного произвольного удаления файлов в плагине Avada Builder, который установлен примерно на одном миллионе сайтов WordPress. Эта уязвимость позволяет злоумышленникам удалять файлы на сервере через ошибку обхода пути, и удаление wp-config.php может вернуть сайт к его первоначальному состоянию, потенциально позволяя полное захват.

      Патч для уязвимости Avada Builder доступен в версии 3.15.4, и пока не было зафиксировано активной эксплуатации CVE-2026-8713.

      Wordfence не приписывал эксплуатацию Gravity SMTP конкретному злоумышленнику или группе. Шаблон массового сканирования из небольшого кластера IP-адресов соответствует оппортунистическому сбору учетных данных, а не целенаправленному вторжению, хотя украденные учетные данные могут быть проданы или переданы более сложным операторам для последующих атак.