Hackers exploit info disclosure bug in Gravity SMTP WordPress plugin

Vulnérabilités critiques dans les extensions WordPress : Gravity SMTP et Avada Builder

Des campagnes d’exploitation actives ciblent actuellement le plugin Gravity SMTP (100 000 installations), tandis qu’une faille critique a été identifiée dans Avada Builder (1 million d’installations).

Points clés :

• Gravity SMTP : Une faille d’exposition d’informations permet à des attaquants non authentifiés de récupérer des données sensibles (clés API, identifiants de services tiers comme Amazon SES ou Google, et détails techniques du serveur) via un point de terminaison REST API mal configuré.
• Avada Builder : Une vulnérabilité de suppression arbitraire de fichiers permet, par traversée de répertoire, d’effacer des fichiers critiques comme wp-config.php, exposant les sites à une prise de contrôle totale.

Vulnérabilités :

• CVE-2026-4020 (Gravity SMTP) : Divulgation d’informations. Affecte les versions 2.1.4 et antérieures.
• CVE-2026-8713 (Avada Builder) : Suppression arbitraire de fichiers. Aucune exploitation active signalée à ce jour, mais risque critique élevé.

Recommandations :

• Mise à jour immédiate : Passer à la version 2.1.5 pour Gravity SMTP et à la version 3.15.4 pour Avada Builder.
• Surveillance : Analyser les journaux d’accès web à la recherche de requêtes suspectes vers /wp-json/gravitysmtp/v1/tests/mock-data.
• Blocage : Ajouter les adresses IP identifiées comme sources d’attaques aux listes de blocage de votre pare-feu (WAF).

Source