Bedreigingsactoren maken misbruik van een onlangs gepatchte beveiligingsfout die gevolgen heeft voor Gravity SMTP, een WordPress-plug-in die op ongeveer 100.000 sites is geïnstalleerd.
De kwetsbaarheid, bijgehouden als CVE-2026-4020 (CVSS-score: 5,3) is een middelzware fout bij het vrijgeven van informatie, waardoor niet-geverifieerde aanvallers gevoelige gegevens kunnen extraheren, zoals configuratiegegevens, API-sleutels, geheimen en OAuth-tokens die zijn geconfigureerd voor de e-mailintegraties van de plug-in.
“Dit komt door een REST API-eindpunt geregistreerd op /wp-json/gravitysmtp/v1/tests/mock-data met een permission_callback die onvoorwaardelijk true retourneert, waardoor elke niet-geverifieerde bezoeker er toegang toe heeft”, aldus Wordfence.
“Wanneer de ?page=gravitysmtp-settings queryparameter wordt toegevoegd, vult de register_connector_data()-methode van de plug-in interne connectorgegevens in, waardoor het eindpunt ongeveer 365 KB JSON retourneert met daarin het volledige systeemrapport.”
Als gevolg hiervan kan een niet-geverifieerde aanvaller dit probleem als wapen gebruiken om een breed scala aan informatie op te halen, waaronder:
- PHP-versie
- Geladen extensies
- Webserverversie
- Documenthoofdpad
- Type en versie van databaseserver
- WordPress-versie
- Alle actieve plug-ins met versies
- Actief thema
- WordPress-configuratiedetails
- Namen van databasetabellen
- API-sleutels/tokens geconfigureerd in de plug-in, zoals Amazon SES, Google, Mailjet, Resend en Zoho
Aanvallers kunnen deze blootstelling vervolgens benutten om inloggegevens te verzamelen die kunnen worden misbruikt om namens de site e-mail te verzenden, en om uitgebreide details van de softwarestack van de site te verzamelen, die als basis kunnen dienen voor vervolgaanvallen.
“Zoals bij alle kwetsbaarheden voor het blootstellen van gevoelige informatie, hangt de impact af van welke gegevens worden blootgesteld”, voegde Wordfence eraan toe. “In dit geval betekent het openbaar maken van live API-inloggegevens van derden dat een aanvaller misbruik kan maken van de verbonden e-maildiensten van de site, terwijl het gedetailleerde systeemrapport de inspanning die nodig is om verdere aanvallen op de site te plannen aanzienlijk vermindert.”
Er is een patch voor de kwetsbaarheid uitgebracht in versie 2.1.5 van de plug-in. Slechte actoren hebben het defect al aangepakt door niet-geverifieerde HTTP GET-verzoeken naar het kwetsbare REST API-eindpunt te sturen met de queryparameter “?page=gravitysmtp-settings”, waardoor de server waardevolle informatie over de site retourneert zonder dat enige authenticatie vereist is.
Wordfence heeft tot nu toe meer dan 17 miljoen exploitpogingen tegen CVE-2026-4020 geblokkeerd, waarbij de initiële activiteit begin mei 2026 begon, voordat deze rond 6 juni 2026 dramatisch steeg en een dag later een hoogtepunt bereikte van meer dan 4.000.000 verzoeken. De exploitinspanningen zijn afkomstig van de volgende IP-adressen:
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
Site-eigenaren die een kwetsbare versie van de Gravity SMTP-plug-in gebruiken en e-mailintegraties van derden hebben geconfigureerd, moeten een compromis aanvaarden en de inloggegevens rouleren nadat ze de plug-in zo snel mogelijk naar de nieuwste versie hebben bijgewerkt. Het wordt ook aangeraden om serverlogbestanden te controleren op verzoeken die afkomstig zijn van de bovengenoemde IP-adressen voor eventuele verdachte verzoeken aan het API-eindpunt.
