Hackers Exploit Gravity SMTP WordPress Plugin Bug to Expose API Keys
Mis à jour :
Fuite massive de données critiques via le plugin Gravity SMTP
Le plugin WordPress Gravity SMTP, utilisé par environ 100 000 sites, est actuellement la cible d’attaques massives exploitant une faille de divulgation d’informations. Cette vulnérabilité permet à des attaquants non authentifiés d’extraire des configurations système sensibles ainsi que des clés API tierces (Amazon SES, Google, Mailjet, etc.).
Points clés :
- La vulnérabilité réside dans un point de terminaison de l’API REST (
/wp-json/gravitysmtp/v1/tests/mock-data) dont le mécanisme de contrôle d’accès est défectueux, retournant systématiquement une autorisation positive. - L’ajout du paramètre
?page=gravitysmtp-settingsdéclenche le renvoi d’un rapport système complet (JSON) contenant des informations sur l’infrastructure (PHP, serveur, base de données, plugins) et les identifiants d’intégration. - Plus de 17 millions de tentatives d’exploitation ont été enregistrées, avec un pic d’activité intense début juin 2026.
Vulnérabilité :
- CVE-2026-4020 (Score CVSS : 5.3) : Divulgation d’informations sensibles par accès non authentifié à l’API.
Recommandations :
- Mise à jour immédiate : Passer impérativement à la version 2.1.5 ou supérieure du plugin.
- Rotation des secrets : Si le plugin était configuré avec des services tiers, considérez les identifiants comme compromis et effectuez une rotation immédiate de toutes les clés API et jetons OAuth.
- Audit de sécurité : Examiner les journaux (logs) du serveur à la recherche de requêtes suspectes pointant vers l’API, notamment en provenance d’adresses IP associées aux campagnes d’attaques identifiées.