10万WordPress站遭探测：Gravity SMTP漏洞泄露API密钥

五月初的一个凌晨，多台Web服务器日志中出现同一类请求：一个从不存在的页面发出，带着一行简单的查询参数，却在几秒内得到365 KB的JSON响应。它们没有携带任何身份令牌，却像一把万能钥匙，直接拧开了核心邮件服务的保险柜。这些请求瞄准的是WordPress插件Gravity SMTP的一个REST API端点，任何人都能通过它拿走站点的API密钥、OAuth令牌，以及整个软件栈的详细清单。Wordfence威胁情报团队在持续监控中发现，从2026年5月初开始，这类攻击尝试已累计超过1700万次，且仍在活跃。

漏洞被标记为CVE-2026-4020，Wordfence给出的CVSS基础评分为5.3，属于中危漏洞。单看评分，似乎不算紧迫，但正反两方的声音却在安全圈里激起了涟漪。一方认为，5.3分低估了实际风险——漏洞没有认证门槛，暴露的又是邮件服务凭证，恰好能支撑精准钓鱼和商业邮件欺诈；另一方则坚持，评分客观反映了攻击复杂度、所需权限和影响范围，不能因为凑巧击中敏感数据就随意拔高。两种观点的落差，正好折射出文本评分无法替代现场判断的现实困境。

先看漏洞本身。缺乏认证检查的端点是/wp-json/gravitysmtp/v1/tests/mock-data，其permission_callback函数无条件返回true，使得任何发送到该地址的HTTP请求都会被处理。当攻击者附上?page=gravitysmtp-settings参数时，插件的register_connector_data()方法将站点的内部连接器数据填充进返回内容，最终输出约365 KB的系统报告JSON。这份报告包含已配置的所有邮件服务——Amazon SES、Google、Mailjet、Resend、Zoho——的API密钥、密码和OAuth令牌。拿到这些凭证的人，便能用站点的名义发送邮件，适合发起钓鱼或商业邮件欺诈。正因为漏洞位于一个无需认证的路径，攻击才像潮水般泛开。

值得注意的是补丁时间线。2026年3月17日发布的2.1.5版本已经修复了该漏洞，但真正的大规模利用直到两个月后才启动。这个时间差意味着攻击者可能对补丁进行了逆向工程，或者是在研究人员公开细节后自行发现。这与常见的安全事件模式一致：补丁发布往往不是事件的终点，而是新一轮攻击的倒计时开始，特别是当修复暗示了可利用的表面路径时。

系统报告暴露的另一层信息，让这次攻击的杀伤力不止于邮件服务。报告里写着WordPress版本、PHP版本及其加载的扩展、Web服务器版本、网站根目录路径、数据库类型与版本、所有活跃插件及其版本号、当前使用的主题，以及数据库表名。这些数据对站点运维来说是一份标准体检单，但落到攻击者手里就成了一张精确的软件栈地图，节省了大量侦察时间，可以直接匹配已知漏洞来发动后续攻击。Wordfence观察到，攻击者拿到这些数据后很可能进一步筛选存在特定版本漏洞的站点，部署持久化后门或窃取更多数据。

现在回到评分的分歧。主张5.3分合理的人指出，CVSS的攻击复杂度低、无需权限，但影响范围限定在机密性，对完整性和可用性没有直接损害，所以评估没有错。而认为评分偏低的人则从攻击链视角反驳：初始访问虽然只是数据泄露，但API密钥的泄露相当于获得合法邮件通道，可以绕过邮件安全防护，从而辅助后续横向移动和社会工程攻击，连锁伤害远非评分所能概括。我的判断是，漏洞评级不应只看初始向量，更要看攻击者下一步能拿这些数据做什么。当暴露的是生产环境的实时凭证而非测试数据时，传统的机密性影响就会升格为操作风险，将漏洞优先级强行拉到更高档位。安全团队面对此类漏洞，不能因为CVSS写着5.3就排到低优先级队列末尾，应该按资产关键程度来补丁，尤其是那些使用Gravity SMTP管理重要服务域名的站点。

从防护侧看，Wordfence的防火墙规则已经内置了对该利用特征的拦截，这也是它能精准统计出1700万次尝试的基础。已使用Wordfence的10万个站点会自动获得保护，但仍有大量使用其他安全方案或未部署WAF的站点暴露在攻击面中。运营者应尽快确认插件版本，若低于2.1.5则需马上更新，并轮换所有已配置在插件中的邮件服务凭证和API密钥。检查系统报告曾否被未知外部请求调取，也是必要的自查步骤，因为日志里可能留有早期被探测的记录。

这次事件给所有依赖第三方插件连接关键服务的架构敲了一次警钟：一个插件的内部调试端点如果忘记加锁，就有可能把整个邮件基础设施的钥匙撒到公网上。安全不再只是代码质量的事，还包括API权限边界、补丁窗口和凭证生命周期管理的整体设计。对于攻击者来说，这又是一次成本极低的敲门尝试；对于防御方来说，却逼着重新审视每一个向外的HTTP路径——不是每个端点都像它看起来那样无害，而一次简单的GET请求，已经足够搬走一个站点的全部信任凭据。