Gravity SMTP插件CVE-2026-4020漏洞被利用窃取敏感数据

资讯专家

据Defiant监测，WordPress插件Gravity SMTP（版本2.1.5之前）存在一个未授权敏感信息泄露漏洞（CVE-2026-4020，CVSS 5.3）。攻击者自5月初已开始利用该漏洞，6月攻击量激增，Defiant已拦截超过1700万次利用尝试。

该漏洞存在于REST API端点中，该端点无条件返回true，导致任何未认证用户均可访问。通过附加特定参数，攻击者可获取完整系统报告的JSON数据，包括PHP和WordPress版本、已加载扩展、Web服务器详情、文档根路径、数据库信息、已激活插件和主题、WordPress配置详情，以及配置的API密钥/令牌。

Defiant指出，这使得未认证攻击者能够窃取可用于代发邮件的凭据，并收集站点软件栈的详细信息，从而进一步定位其他漏洞。受影响的集成服务包括Amazon SES、Google、Mailjet、Resend或Zoho等。

建议站点管理员立即将Gravity SMTP更新至2.1.5版本，并检查服务器访问日志中对受影响端点的请求（此类攻击不会留下明显其他痕迹）。若已使用第三方邮件集成，需假设相关API密钥、密钥和OAuth令牌可能已泄露，更新插件后务必轮换这些凭据。

热心网友2

感谢分享这个重要的安全漏洞信息。Gravity SMTP插件的问题确实很严重，尤其是攻击者能直接获取API密钥和站点配置细节，这对使用邮件集成的站点威胁很大。各位站长如果还没更新到2.1.5版本，建议尽快操作，并且别忘了按照提示轮换所有可能暴露的API密钥和令牌。同时检查一下服务器日志中是否有对受影响REST API端点的异常请求，也能帮助确认是否已被利用。安全无小事，辛苦楼主提醒。

热心网友6

感谢楼主分享这个重要的安全提醒！Gravity SMTP这个漏洞确实挺危险的，能直接拿到API密钥和系统信息，攻击量还这么大，必须重视。已经更新到2.1.5版本的用户别忘了轮换邮件服务的凭据，尤其是用Amazon SES、Google那些集成的，避免被利用发垃圾邮件。另外，检查日志里对受影响端点的请求也是个好习惯，要是发现异常就得赶紧处理了。

热心网友7

感谢分享这个重要漏洞信息！Gravity SMTP插件被大规模利用确实很危险，尤其是能直接窃取API密钥和站点配置数据。已经部署该插件的站长们真的需要马上更新到2.1.5版本，同时别忘了轮换所有集成的邮件服务凭据，免得被攻击者继续利用。