黑客利用 Gravity SMTP WordPress 插件漏洞泄露 API 密钥
- 浏览次数 85
- 喜欢 0
威胁行为者正在利用最近修补的一个安全漏洞,该漏洞影响 Gravity SMTP,这是一个安装在约 10 万个网站上的 WordPress 插件。
该漏洞编号为 CVE-2026-4020(CVSS 评分:5.3),是一个中等严重性的信息泄露漏洞,允许未认证的攻击者提取敏感数据,例如为插件电子邮件集成配置的配置数据、API 密钥、机密和 OAuth 令牌。
Wordfence 表示:“这是由于注册在 /wp-json/gravitysmtp/v1/tests/mock-data 的 REST API 端点其 permission_callback 无条件返回 true,允许任何未认证的访客访问它。”
“当附加 ?page=gravitysmtp-settings 查询参数时,插件的 register_connector_data() 方法会填充内部连接器数据,导致该端点返回约 365 KB 的 JSON,其中包含完整的系统报告。”
因此,未认证的攻击者可以利用此问题检索广泛的信息,包括:
- PHP 版本
- 已加载的扩展
- Web 服务器版本
- 文档根路径
- 数据库服务器类型和版本
- WordPress 版本
- 所有已激活的插件及其版本
- 当前主题
- WordPress 配置详情
- 数据库表名
- 插件中配置的 API 密钥/令牌,如 Amazon SES、Google、Mailjet、Resend 和 Zoho
攻击者随后可以利用此暴露来获取凭证,这些凭证可能被滥用以代表该网站发送电子邮件,以及获取网站软件栈的详细信息,这可能成为后续攻击的基础。
Wordfence 补充道:“与所有敏感信息暴露漏洞一样,其影响取决于暴露了哪些数据。在这种情况下,实时第三方 API 凭证的暴露意味着攻击者可以滥用网站连接的电子邮件服务,而详细的系统报告则显著降低了策划对网站进一步攻击所需的工作量。”
该漏洞的补丁已在插件版本 2.1.5 中发布。恶意行为者已经迅速利用该缺陷,向易受攻击的 REST API 端点发送带有 "?page=gravitysmtp-settings" 查询参数的未认证 HTTP GET 请求,导致服务器在无需任何身份验证的情况下返回有关网站的有价值信息。
Wordfence 迄今为止已阻止了超过 1700 万次针对 CVE-2026-4020 的利用尝试,初始活动始于 2026 年 5 月初,然后在 2026 年 6 月 6 日左右急剧飙升,一天后达到超过 400 万次请求的高峰。利用尝试源自以下 IP 地址:
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
运行易受攻击版本的 Gravity SMTP 插件并已配置第三方电子邮件集成的网站所有者应假设已遭入侵,并在将插件更新到最新版本后尽快轮换凭证。同时建议检查服务器日志文件中是否有源自上述 IP 地址的对 API 端点的可疑请求。