Pelaku ancaman mengeksploitasi kerentanan pengungkapan informasi yang tidak diautentikasi di plugin WordPress Gravity SMTP, yang aktif di 100.000 situs.
Cacat tersebut dilacak sebagai CVE-2026-4020 dan mendapat peringkat tingkat keparahan sedang. Ini mempengaruhi semua versi plugin dari 2.1.4 dan yang lebih lama dan telah diatasi dalam versi 2.1.5, yang dirilis pada 17 Maret.
Perusahaan keamanan WordPress Defiant memperingatkan bahwa peretas secara aktif mengeksploitasi kerentanan tersebut. Firewall Wordfence perusahaan telah memblokir lebih dari 17 juta upaya terhadap pelanggan yang dilindungi.
Masalah ini berasal dari titik akhir REST API yang terekspos di Gravity SMTP, yang ‘permission_callback’-nya selalu mengembalikan ‘true’, sehingga memungkinkan permintaan GET yang tidak diautentikasi untuk menerima “Laporan Sistem” JSON komprehensif yang dihasilkan oleh plugin. Informasi yang diungkapkan mungkin berisi:
- Kunci API, rahasia, dan token OAuth untuk integrasi email yang dikonfigurasi
- Kredensial untuk layanan email pihak ketiga, termasuk Amazon SES, Google, Mailjet, Resend, dan Zoho
- Detail konfigurasi WordPress, termasuk plugin yang diinstal, tema, dan versi perangkat lunak
- Informasi lingkungan server dan PHP
- Detail konfigurasi database, termasuk versi server dan nama tabel
Meskipun tingkat keparahannya sedang, kerentanan CVE-2026-4020 dapat dieksploitasi tanpa autentikasi, dan informasi yang terekspos dapat digunakan untuk mencuri kredensial layanan email.
Hal ini memungkinkan penyerang untuk menyamar sebagai korban kepada pihak ketiga dan juga mendapatkan informasi rinci tentang tumpukan perangkat lunak situs dan potensi kerentanan yang ada.
“Paparan kredensial API pihak ketiga yang aktif berarti penyerang dapat menyalahgunakan layanan email yang terhubung di situs tersebut, sementara laporan sistem yang terperinci secara signifikan mengurangi upaya yang diperlukan untuk merencanakan serangan lebih lanjut terhadap situs tersebut,” Peneliti Wordfence memperingatkan.
Wordfence mengatakan aktivitas eksploitasi melonjak pada tanggal 7 Juni, dengan 4 juta permintaan diblokir pada hari itu. Aktivitas serupa terekam beberapa hari setelahnya.
Sumber: Wordfence
Perusahaan keamanan tersebut mencantumkan alamat IP sumber paling produktif untuk permintaan eksploitasi, yang harus ditambahkan oleh administrator situs web ke daftar blokir mereka.
Indikator utama kompromi adalah permintaan ke ‘/wp-json/gravitysmtp/v1/tests/mock-data’ yang ditemukan di log akses server web, khususnya yang menyertakan parameter kueri ‘?page=gravitysmtp-settings’.
Kemarin, perusahaan mengeluarkan a penasehat terpisah tentang kelemahan penghapusan file yang kritis, tidak diautentikasi, dan sewenang-wenang pada plugin Avada Builder WordPress, yang digunakan di satu juta situs.
Kerentanan ini diidentifikasi sebagai CVE-2026-8713 dan memungkinkan penyerang menghapus file sewenang-wenang di server melalui cacat traversal jalur, asalkan formulir Avada yang diterbitkan dikonfigurasi untuk menyimpan kiriman ke database.
Menghapus file penting, seperti wp-config.phpdapat mengembalikan situs ke status penyiapan awal, yang berpotensi menyebabkan pengambilalihan situs secara penuh dan eksekusi kode jarak jauh.
Masalah ini telah diperbaiki pada versi 3.15.4, yang merupakan target peningkatan yang direkomendasikan untuk administrator situs web. Belum ada eksploitasi aktif terhadap CVE-2026-8713 yang teramati, namun ini adalah kandidat yang baik, jadi disarankan untuk mengambil tindakan cepat.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
