Securitate cibernetică21 iun. 2026
Wordfence: atacatori exploatează o vulnerabilitate Gravity SMTP și pot extrage chei API de pe circa 100.000 de site-uri WordPress - peste 17 milioane de tentative blocate, iar actualizarea nu anulează automat credențialele furate
O vulnerabilitate din pluginul Gravity SMTP expune chei API fără autentificare , iar atacatorii au industrializat rapid exploatarea, punând presiune operațională pe administratorii WordPress: simpla actualizare nu este suficientă dacă datele au fost deja extrase. Potrivit The Next Web , Wordfence a blocat peste 17 milioane de încercări de exploatare a breșei, iar pluginul este instalat pe aproximativ 100.000 de site-uri. Vulnerabilitatea ( CVE-2026-4020 ), evaluată la 5,3 pe scara CVSS de către Wordfence, afectează toate versiunile Gravity SMTP până la 2.1.4 inclusiv. Remedierea a fost livrată în versiunea 2.1.5, publicată pe 17 martie 2026, însă exploatarea „în sălbăticie” a început abia la începutul lunii mai, ceea ce sugerează că atacatorii au analizat patch-ul (actualizarea) sau au identificat independent problema după apariția acestuia. De ce contează: cheile pot rămâne compromise și după patch Miza principală este că expunerea include credențiale reutilizabile — chei API, „secrete” și tokenuri OAuth (jetoane de autorizare) — pentru integrările de e-mail configurate în plugin. Gravity SMTP suportă, între altele, Amazon SES, Google, Mailjet, Resend și Zoho, iar dacă un site are conectate astfel de servicii, credențialele pot apărea în răspunsul serverului. Consecința practică: un atacator care obține aceste date poate trimite e-mail în numele site-ului compromis, util pentru phishing și fraude de tip „business email compromise” (compromiterea corespondenței de business). Cum funcționează breșa și ce date se scurg Cauza este un endpoint (punct de acces) din REST API înregistrat la: /wp-json/gravitysmtp/v1/tests/mock-data Acesta folosește o funcție de permisiuni care „returnează true” necondiționat, adică nu verifică autentificarea înainte de a procesa cererea. Dacă atacatorul adaugă parametrul ?page=gravitysmtp-settings , endpointul poate returna aproximativ 365 KB de JSON cu un raport complet de sistem. Pe lângă credențiale, raportul include informații care reduc masiv efortul de recunoaștere pentru atacuri ulterioare: versiuni WordPress și PHP, extensii încărcate, versiunea serverului web, calea document root, tipul și versiunea serverului de baze de date, lista pluginurilor active cu versiuni, tema activă și nume de tabele din baza de date. În analiza Wordfence, riscul este dublu: abuzarea serviciilor conectate și accelerarea atacurilor ulterioare prin „harta” detaliată a stack-ului software. „Expunerea credențialelor API terțe în timp real înseamnă că un atacator ar putea abuza serviciile de e-mail conectate ale site-ului, iar raportul detaliat de sistem reduce semnificativ efortul necesar pentru a planifica atacuri suplimentare”, au scris cercetătorii Wordfence, potrivit articolului. Semnale de atac și ritmul exploatării Wordfence spune că a observat un vârf puternic al volumului în jurul datei de 6 iunie 2026, iar pe 7 iunie a blocat peste 4 milioane de cereri într-o singură zi. Traficul ar proveni în principal dintr-un „cluster” de adrese IP, publicate de Wordfence pentru a fi adăugate în liste de blocare. Indicatorul-cheie de compromitere menționat este prezența în logurile serverului a cererilor către endpointul de mai sus, în special cele care includ parametrul ?page=gravitysmtp-settings . Platforma open-source CrowdSec a confirmat independent cronologia: a introdus detecție pentru CVE-2026-4020 pe 22 mai și a observat primele exploatări reale pe 27 mai; până la 1 iunie, activitatea era deja clasificată drept „zgomot de fundal”, semn că fusese integrată în scanări automate la scară. Ce au de făcut administratorii: update + rotația cheilor Recomandarea din avertismentul Wordfence, preluată de publicație, este ca administratorii care rulează versiuni vulnerabile și au integrări de e-mail configurate să presupună compromiterea și să acționeze în doi pași: actualizare la Gravity SMTP 2.1.5 sau mai nou; rotația imediată a tuturor cheilor API, „secretelor” și tokenurilor OAuth configurate în conectorii de e-mail ai pluginului, plus verificarea logurilor pentru cereri către endpointul vulnerabil și pentru IP-urile publicate. Publicația notează și o problemă structurală: deși patch-ul a existat cu luni înainte de vârful exploatării, multe site-uri au rămas neactualizate, iar decalajul dintre disponibilitatea patch-urilor și instalarea lor rămâne un punct slab recurent, mai ales în ecosistemul de pluginuri WordPress. [...]
