Хакери ја искористуваат ранливоста за откривање информации во Gravity SMTP WordPress додатокот

Напаѓачите активно ја искористуваат ранливоста за неавтентицирано откривање информации во WordPress додатокот Gravity SMTP, кој е активен на околу 100.000 веб-страници.

Ранливоста е заведена како CVE-2026-4020 и има добиено оценка за средна сериозност. Таа ги засега сите верзии на додатокот 2.1.4 и постари, а проблемот е поправен во верзијата 2.1.5, објавена на 17 март.

Компанијата за безбедност на WordPress, Defiant, предупредува дека хакерите активно ја злоупотребуваат ранливоста. Нејзиниот заштитен ѕид Wordfence блокирал повеќе од 17 милиони обиди за напад насочени кон заштитените корисници.

Проблемот потекнува од изложен REST API endpoint во Gravity SMTP, чија функција „permission_callback“ секогаш враќа вредност „true“. Ова им овозможува на неавтентицирани напаѓачи преку GET барања да добијат сеопфатен JSON извештај за системот („System Report“) генериран од додатокот.

Изложените информации може да вклучуваат:

• API клучеви, тајни клучеви и OAuth токени за конфигурираните интеграции за е-пошта;
• акредитиви за услуги за е-пошта од трети страни, вклучувајќи:
  • Amazon SES,
  • Google,
  • Mailjet,
  • Resend,
  • Zoho;
• детали за конфигурацијата на WordPress, вклучувајќи инсталирани додатоци, теми и верзии на софтвер;
• информации за серверот и PHP околината;
• детали за конфигурацијата на базата на податоци, вклучувајќи верзија на серверот и имиња на табели.

Иако CVE-2026-4020 е оценета како ранливост со средна сериозност, таа може да се искористи без автентикација, а изложените информации можат да им овозможат на напаѓачите да украдат акредитиви за услуги за е-пошта.

Ова може да му овозможи на напаѓачот:

• да се претставува како жртвата пред трети страни,
• да добие детални информации за софтверската структура на веб-страницата,
• да ги идентификува потенцијалните дополнителни ранливости.

„Изложувањето на активни акредитиви за API услуги од трети страни значи дека напаѓачот може да ги злоупотреби поврзаните услуги за е-пошта на страницата, додека деталниот системски извештај значително го намалува напорот потребен за планирање понатамошни напади“, предупредуваат истражувачите на Wordfence.

Wordfence наведува дека активноста за експлоатација значително се зголемила на 7 јуни, кога биле блокирани 4 милиони барања во еден ден. Слична активност била забележана и во следните неколку дена.

Безбедносната компанија ги наведе најактивните изворни IP-адреси од кои доаѓаат барањата за експлоатација, а администраторите на веб-страници треба да ги додадат на своите листи за блокирање (blocklists).

Клучен индикатор за компромитација (IOC) се барањата кон:

/wp-json/gravitysmtp/v1/tests/mock-data

кои можат да се пронајдат во логовите за пристап на веб-серверот, особено оние што го содржат параметарот:

?page=gravitysmtp-settings

Вчера компанијата издаде и посебно предупредување за критична ранливост без потреба од автентикација во WordPress додатокот Avada Builder, кој се користи на околу 1 милион веб-страници.

Оваа ранливост е идентификувана како CVE-2026-8713 и им овозможува на напаѓачите да бришат произволни датотеки од серверот преку ранливост од типот path traversal, под услов објавена Avada форма да биде конфигурирана да ги зачувува поднесоците во базата на податоци.

Бришењето на критични датотеки, како што е wp-config.php, може да ја врати веб-страницата во почетна состојба на конфигурација, што потенцијално може да доведе до:

• целосно преземање на веб-страницата (site takeover);
• далечинско извршување код (Remote Code Execution – RCE).

Проблемот е поправен во верзијата 3.15.4, која е препорачаната верзија за надградба за администраторите на веб-страници.

Иако досега не е забележана активна експлоатација на CVE-2026-8713, истражувачите предупредуваат дека оваа ранливост е атрактивна цел за напаѓачите, па се препорачува брзо преземање мерки и ажурирање на додатокот.

Извори:

• Bleeping Computer – Hackers exploit info disclosure bug in Gravity SMTP WordPress plugin Bleeping Computer