- 27,721
- 46
- 8 Ноя 2022
За безобидным запросом пряталась дверь, которую никто не закрыл.
Иногда утечка начинается не с взлома панели администратора, а с открытого служебного запроса, и именно такой механизм сейчас используют злоумышленники против сайтов на WordPress с плагином Gravity SMTP. Уязвимость CVE-2026-4020 (7,5 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) позволяет без входа в систему получить чувствительные данные из настроек почтовых интеграций.
Проблема затрагивает Gravity SMTP , установленный примерно на 100 тысячах сайтов. Плагин используют для отправки почты через сторонние сервисы, включая Amazon SES, Google, Mailjet, Resend и Zoho. Хотя оценка опасности не максимальная, реальный ущерб зависит от того, какие ключи и токены хранились в настройках конкретного сайта.
Механизм атаки оказался простым. В плагине работает адрес REST API /wp-json/gravitysmtp/v1/tests/mock-data, который принимает запросы от любых посетителей. Если к запросу добавить параметр ?page=gravitysmtp-settings, сервер возвращает большой JSON-файл с системным отчётом, где могут находиться версии PHP, WordPress и веб-сервера, список активных плагинов, тема, параметры базы данных и учётные данные почтовых сервисов.
Такая утечка не даёт прямого контроля над сайтом, но заметно упрощает подготовку следующей атаки. Полученные API-ключи позволяют отправлять письма от имени сайта через подключённые почтовые сервисы, а подробный отчёт о программной среде помогает подбирать последующие шаги.
Wordfence уже заблокировала более 17 млн попыток эксплуатации CVE-2026-4020. Первую активность зафиксировали в начале мая 2026 года, резкий рост начался около 6 июня, а на следующий день число запросов превысило 4 млн за сутки. Атакующие отправляли HTTP GET-запросы к уязвимому REST API-эндпоинту и получали данные без проверки прав доступа.
Разработчики закрыли уязвимость в Gravity SMTP 2.1.5. Владельцам сайтов с уязвимой версией и подключёнными сторонними почтовыми сервисами рекомендуют обновить плагин, затем заменить API-ключи и токены, а также проверить журналы сервера на запросы к указанному API-адресу и обращения с IP-адресов, перечисленных Wordfence.
Иногда утечка начинается не с взлома панели администратора, а с открытого служебного запроса, и именно такой механизм сейчас используют злоумышленники против сайтов на WordPress с плагином Gravity SMTP. Уязвимость CVE-2026-4020 (7,5 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) позволяет без входа в систему получить чувствительные данные из настроек почтовых интеграций.
Проблема затрагивает Gravity SMTP , установленный примерно на 100 тысячах сайтов. Плагин используют для отправки почты через сторонние сервисы, включая Amazon SES, Google, Mailjet, Resend и Zoho. Хотя оценка опасности не максимальная, реальный ущерб зависит от того, какие ключи и токены хранились в настройках конкретного сайта.
Механизм атаки оказался простым. В плагине работает адрес REST API /wp-json/gravitysmtp/v1/tests/mock-data, который принимает запросы от любых посетителей. Если к запросу добавить параметр ?page=gravitysmtp-settings, сервер возвращает большой JSON-файл с системным отчётом, где могут находиться версии PHP, WordPress и веб-сервера, список активных плагинов, тема, параметры базы данных и учётные данные почтовых сервисов.
Такая утечка не даёт прямого контроля над сайтом, но заметно упрощает подготовку следующей атаки. Полученные API-ключи позволяют отправлять письма от имени сайта через подключённые почтовые сервисы, а подробный отчёт о программной среде помогает подбирать последующие шаги.
Wordfence уже заблокировала более 17 млн попыток эксплуатации CVE-2026-4020. Первую активность зафиксировали в начале мая 2026 года, резкий рост начался около 6 июня, а на следующий день число запросов превысило 4 млн за сутки. Атакующие отправляли HTTP GET-запросы к уязвимому REST API-эндпоинту и получали данные без проверки прав доступа.
Разработчики закрыли уязвимость в Gravity SMTP 2.1.5. Владельцам сайтов с уязвимой версией и подключёнными сторонними почтовыми сервисами рекомендуют обновить плагин, затем заменить API-ключи и токены, а также проверить журналы сервера на запросы к указанному API-адресу и обращения с IP-адресов, перечисленных Wordfence.
- Источник новости
- www.securitylab.ru
