WordPress-сайты с устаревшим Gravity SMTP попали под массовое сканирование. Злоумышленники эксплуатируют уязвимость CVE-2026-4020, которая позволяет получить чувствительные данные через открытый REST API-эндпоинт без аутентификации. Проще говоря, атакующему не нужен пароль, учётная запись или доступ в админку. Достаточно отправить правильный HTTP-запрос.
Gravity SMTP — плагин для настройки отправки писем с WordPress-сайта через внешние почтовые сервисы. Его используют, когда стандартная отправка писем через хостинг работает нестабильно или письма попадают в спам. Плагин подключают к Gmail, Google Workspace, Amazon SES, Mailjet, Resend, Zoho, SendGrid и другим провайдерам. Для этого в настройках хранятся API-ключи, OAuth-токены и параметры SMTP.
Именно эти данные и оказались под угрозой. Уязвимость раскрывает не только технический отчёт о сервере, но и секреты, которые нужны для отправки почты через подключённые сервисы. В отдельных разборах указывалось, что один запрос мог возвращать сотни килобайт конфигурационной информации.
Проблему нашли в Gravity SMTP версии 2.1.4 и ниже. Разработчики закрыли её в версии 2.1.5, которая вышла ещё в марте 2026 года. На этом история могла бы закончиться обычным советом «обновитесь». Но многие сайты остались на старых версиях, и уязвимость начали массово искать в интернете.
Wordfence зафиксировала активную эксплуатацию с начала мая 2026 года. Самый заметный всплеск пришёлся на июнь: в отдельный день было заблокировано более 4 млн попыток эксплуатации. Всего счётчик превысил 17 млн заблокированных запросов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.