Gravity SMTP CVE-2026-4020 aktywnie wykorzystywana podatność WordPress

Gravity SMTP CVE-2026-4020 – aktywne ataki na strony WordPress

Atakujący masowo wykorzystują podatność CVE-2026-4020 we wtyczce Gravity SMTP. Luka pozwala ujawnić dane konfiguracyjne WordPressa, klucze API oraz szczegóły środowiska serwera.

17 czerwca 2026 • root • PrywatnyInformatyk.pl

Administratorzy WordPressa powinni pilnie sprawdzić swoje instalacje. Eksperci bezpieczeństwa z Wordfence ostrzegają przed aktywnym wykorzystywaniem podatności CVE-2026-4020 we wtyczce Gravity SMTP. Problem dotyczy wszystkich wersji do 2.1.4 włącznie i pozwala osobom nieuprawnionym uzyskać dostęp do szczegółowych informacji o środowisku WordPressa, konfiguracji serwera oraz danych wykorzystywanych do wysyłki poczty.

Choć luka nie umożliwia bezpośredniego wykonania kodu na serwerze, jej skutki mogą być bardzo poważne. Atakujący otrzymuje szczegółową dokumentację techniczną strony, która może zostać wykorzystana do dalszych ataków.

Na czym polega podatność?

Problem znajduje się w endpointzie REST API:

/wp-json/gravitysmtp/v1/tests/mock-data

W podatnych wersjach wtyczki mechanizm kontroli uprawnień został zaimplementowany błędnie. W praktyce oznacza to, że dowolny użytkownik internetu może pobrać dane diagnostyczne bez logowania do WordPressa.

Jakie informacje mogą zostać ujawnione?

Raport zwracany przez endpoint może zawierać:

  • wersję WordPressa,
  • wersję PHP,
  • informacje o serwerze WWW,
  • listę aktywnych wtyczek i ich wersji,
  • listę aktywnych motywów,
  • ścieżki systemowe serwera,
  • informacje o bazie danych,
  • szczegóły konfiguracji WordPressa,
  • klucze API wykorzystywane przez usługi pocztowe,
  • tokeny i dane konfiguracyjne SMTP.

Według analiz bezpieczeństwa odpowiedź podatnego endpointu mogła zawierać nawet setki kilobajtów danych JSON opisujących praktycznie całe środowisko WordPress.

Dlaczego jest to niebezpieczne?

Wielu administratorów traktuje podatności typu Information Disclosure jako mniej groźne od RCE lub SQL Injection. To błąd.

Atakujący wykorzystuje takie luki do rekonesansu:

  1. identyfikuje technologie używane przez stronę,
  2. wykrywa podatne wtyczki,
  3. pozyskuje klucze API i tokeny,
  4. dobiera kolejne exploity do konkretnej konfiguracji.

W praktyce CVE-2026-4020 może być pierwszym etapem prowadzącym do pełnego przejęcia strony internetowej.

Ataki są już prowadzone na dużą skalę

CrowdSec zaobserwował pierwsze próby wykorzystania podatności już pod koniec maja 2026 roku. Według opublikowanych danych wykryto ponad 400 unikalnych adresów IP prowadzących automatyczne skanowanie podatnych instalacji. Ataki bardzo szybko przeszły do kategorii „background noise”, czyli masowego skanowania całego internetu przez boty.

Wordfence poinformował również o zablokowaniu około 788 tysięcy prób wykorzystania tej podatności na chronionych stronach WordPress.

Uwaga: Skala ataków pokazuje, że cyberprzestępcy aktywnie poszukują stron korzystających z podatnych wersji Gravity SMTP.

Problem może dotyczyć również kluczy API

Szczególnie niebezpieczne są przypadki, w których administrator wykorzystuje zewnętrzne usługi pocztowe takie jak SendGrid, Mailgun, Brevo, Microsoft 365 czy Google Workspace.

Jeżeli klucze API lub tokeny zostały ujawnione przed aktualizacją wtyczki, samo zainstalowanie poprawki może nie wystarczyć. Ujawnione dane mogły zostać już skopiowane przez atakujących.

Czy sama aktualizacja wystarczy?

Po aktualizacji do bezpiecznej wersji warto:

  • zmienić hasła SMTP,
  • wygenerować nowe klucze API,
  • przeanalizować logi serwera WWW,
  • sprawdzić historię wysyłki poczty,
  • zweryfikować nietypową aktywność na koncie dostawcy poczty.

Jak sprawdzić, czy strona jest podatna?

wp plugin list | grep gravitysmtp

lub:

Kokpit → Wtyczki → Gravity SMTP

Jeżeli zainstalowana jest wersja 2.1.4 lub starsza, należy niezwłocznie przeprowadzić aktualizację.

Jak naprawić problem?

Producent usunął podatność w wersji 2.1.5, która została opublikowana jako aktualizacja bezpieczeństwa. Zalecana jest aktualizacja do najnowszej dostępnej wersji.

Tymczasowa ochrona przez ModSecurity

SecRule REQUEST_URI "@contains /wp-json/gravitysmtp/" \
"id:1005100,\
phase:1,\
deny,\
status:403,\
log,\
msg:'Gravity SMTP CVE-2026-4020 blocked'"

Reguła może ograniczyć ryzyko do czasu wykonania aktualizacji.

Dodatkowy problem bezpieczeństwa

Co ciekawe, CVE-2026-4020 nie była jedyną podatnością wykrytą w Gravity SMTP. W wersjach do 2.1.4 wykryto również podatność CVE-2026-4162, która umożliwiała użytkownikom o bardzo niskich uprawnieniach dezaktywację lub usunięcie wtyczki.

Wnioski

CVE-2026-4020 pokazuje, że nawet pozornie „niewinne” wycieki informacji mogą prowadzić do poważnych incydentów bezpieczeństwa. Atakujący nie potrzebuje od razu podatności RCE. Czasami wystarczy dostęp do szczegółowej konfiguracji serwera, aby przygotować kolejny etap ataku.

Jeżeli korzystasz z Gravity SMTP, sprawdź wersję wtyczki, wykonaj aktualizację oraz rozważ zmianę kluczy API i haseł SMTP. W przypadku serwerów hostingowych warto również przeanalizować logi pod kątem prób dostępu do podatnego endpointu.

Źródła

Zobacz inne posty