Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Взлом по подписке: ИИ-агенты против вашего мобильного приложения

Вебинар пройдет 2 июля, начало в 14:00. Разберем, как сделать взлом вашего приложения невыгодным для злоумышленника

Wordfence заблокировала более 17 млн попыток эксплуатации уязвимости в Gravity SMTP

leer en español

7868
Gravity SMTP WordPress API-ключи OAuth утечка Wordfence CVE-2026-4020
Wordfence заблокировала более 17 млн попыток эксплуатации уязвимости в Gravity SMTP
Gravity SMTP WordPress API-ключи OAuth утечка Wordfence CVE-2026-4020

За безобидным запросом пряталась дверь, которую никто не закрыл.

image

Иногда утечка начинается не с взлома панели администратора, а с открытого служебного запроса, и именно такой механизм сейчас используют злоумышленники против сайтов на WordPress с плагином Gravity SMTP. Уязвимость CVE-2026-4020 (7,5 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) позволяет без входа в систему получить чувствительные данные из настроек почтовых интеграций.

Проблема затрагивает Gravity SMTP, установленный примерно на 100 тысячах сайтов. Плагин используют для отправки почты через сторонние сервисы, включая Amazon SES, Google, Mailjet, Resend и Zoho. Хотя оценка опасности не максимальная, реальный ущерб зависит от того, какие ключи и токены хранились в настройках конкретного сайта.

Механизм атаки оказался простым. В плагине работает адрес REST API /wp-json/gravitysmtp/v1/tests/mock-data, который принимает запросы от любых посетителей. Если к запросу добавить параметр ?page=gravitysmtp-settings, сервер возвращает большой JSON-файл с системным отчётом, где могут находиться версии PHP, WordPress и веб-сервера, список активных плагинов, тема, параметры базы данных и учётные данные почтовых сервисов.

Такая утечка не даёт прямого контроля над сайтом, но заметно упрощает подготовку следующей атаки. Полученные API-ключи позволяют отправлять письма от имени сайта через подключённые почтовые сервисы, а подробный отчёт о программной среде помогает подбирать последующие шаги.

Wordfence уже заблокировала более 17 млн попыток эксплуатации CVE-2026-4020. Первую активность зафиксировали в начале мая 2026 года, резкий рост начался около 6 июня, а на следующий день число запросов превысило 4 млн за сутки. Атакующие отправляли HTTP GET-запросы к уязвимому REST API-эндпоинту и получали данные без проверки прав доступа.

Разработчики закрыли уязвимость в Gravity SMTP 2.1.5. Владельцам сайтов с уязвимой версией и подключёнными сторонними почтовыми сервисами рекомендуют обновить плагин, затем заменить API-ключи и токены, а также проверить журналы сервера на запросы к указанному API-адресу и обращения с IP-адресов, перечисленных Wordfence.