北京
一个鲜为人知的WordPress插件漏洞,正在让黑客轻松拿走你网站的邮箱API密钥和服务器底细。
安全公司Wordfence近期披露,Gravity SMTP插件中存在一个信息泄露漏洞,编号CVE-2026-4020,严重程度评级为中等,CVSS评分5.3分。这个插件在全球约10万个WordPress网站上运行,主要功能是帮网站连接Amazon SES、Google、Mailjet、Resend、Zoho等第三方邮件发送服务。
漏洞本身并不复杂。Wordfence在报告中解释说,问题出在插件注册了一个REST API端点,路径是/wp-json/gravitysmtp/v1/tests/mock-data。这个接口有个致命缺陷——权限回调函数无条件返回true,意味着任何一个没有登录的访问者都能直接访问它。
当攻击者在请求后面加上?page=gravitysmtp-settings这个查询参数时,插件的register_connector_data()方法就会把内部连接器数据全部填充好,让接口一次性返回大约365KB的JSON数据,里面装着完整的系统报告。
这份报告到底暴露了什么?
清单相当详细:PHP版本、已加载的扩展、Web服务器版本、文档根目录路径、数据库服务器类型和版本、WordPress版本、所有已激活插件的名称和版本号、当前使用的主题、WordPress配置详情、数据库表名,以及插件中配置的所有API密钥和令牌——包括Amazon SES、Google、Mailjet、Resend、Zoho这些邮件服务的凭证。
拿到这些信息后,攻击者能做两件事。第一,直接用泄露的API密钥以网站的名义发送邮件,把正规邮件服务变成垃圾邮件中继站。第二,拿着服务器软件栈的完整清单,相当于有了网站的技术底牌,后续发起针对性攻击的难度大幅降低。Wordfence对此的评价是:这类敏感信息泄露漏洞的危害程度,完全取决于到底暴露了什么数据。这次连第三方的实时API凭证都一起漏出来了,加上详细的系统报告,攻击者规划下一步行动的难度直接降了一个量级。
插件开发方已经在2.1.5版本中修复了这个问题。
但攻击者的动作比很多人想象的要快得多。他们在修复发布后就开始行动,向那个有问题的REST API端点发送无需认证的HTTP GET请求,带上?page=gravitysmtp-settings参数,服务器就会乖乖返回所有敏感信息。
Wordfence统计到的数据相当惊人。截至发稿时,他们已经拦截了超过1700万次针对CVE-2026-4020的漏洞利用尝试。攻击活动从2026年5月初开始零星出现,到6月6日前后突然暴涨,单日请求量一度突破400万次。
这些攻击流量主要来自以下IP地址:45.148.10.95、193.32.162.60、176.65.148.139、173.199.90.188、45.148.10.120、185.8.107.155、185.8.106.37、185.8.106.92、185.8.106.145、176.65.148.30。
对于还在运行受影响版本的网站管理者,Wordfence给出的建议很直接:如果你在Gravity SMTP插件中配置过第三方邮件集成,现在就应该假设这些凭证已经泄露,立即到对应的邮件服务后台轮换所有API密钥和令牌。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
