Tin tặc khai thác lỗ hổng plugin Gravity SMTP trên WordPress để làm lộ API Key

Các tác nhân đe dọa đang khai thác lỗ hổng bảo mật CVE-2026-4020 (CVSS 5.3) trong plugin Gravity SMTP của WordPress, ảnh hưởng đến khoảng 100.000 trang web. Lỗ hổng tiết lộ thông tin này cho phép kẻ tấn công chưa xác thực trích xuất các dữ liệu nhạy cảm như cấu hình, API Key và OAuth token.
Lỗ hổng Gravity SMTP WordPress

Các tác nhân đe dọa đang khai thác một lỗ hổng bảo mật vừa được vá ảnh hưởng đến Gravity SMTP, một plugin WordPress được cài đặt trên khoảng 100.000 trang web.

Lỗ hổng này, được theo dõi là CVE-2026-4020 (điểm CVSS: 5.3), là một lỗi tiết lộ thông tin ở mức độ nghiêm trọng trung bình. Nó cho phép những kẻ tấn công chưa xác thực trích xuất các dữ liệu nhạy cảm như dữ liệu cấu hình, API Key, các mã bí mật và OAuth token được cấu hình cho các tích hợp email của plugin.

"Nguyên nhân là do một endpoint REST API được đăng ký tại /wp-json/gravitysmtp/v1/tests/mock-data với một permission_callback luôn trả về giá trị true, cho phép bất kỳ khách truy cập chưa xác thực nào cũng có thể truy cập," Wordfence cho biết.

"Khi tham số truy vấn ?page=gravitysmtp-settings được thêm vào, phương thức register_connector_data() của plugin sẽ điền dữ liệu kết nối nội bộ, khiến endpoint trả về khoảng 365 KB dữ liệu JSON chứa toàn bộ Báo cáo Hệ thống (System Report)."

Các thông tin có nguy cơ bị đánh cắp

Kết quả là, một kẻ tấn công chưa xác thực có thể vũ khí hóa vấn đề này để lấy được nhiều loại thông tin, bao gồm:

  • Phiên bản PHP
  • Các tiện ích mở rộng (extensions) đã tải
  • Phiên bản máy chủ web
  • Đường dẫn gốc của tài liệu (Document root path)
  • Loại và phiên bản máy chủ cơ sở dữ liệu
  • Phiên bản WordPress
  • Tất cả các plugin đang hoạt động cùng phiên bản của chúng
  • Theme đang hoạt động
  • Chi tiết cấu hình WordPress
  • Tên các bảng trong cơ sở dữ liệu
  • Các API Key/token được cấu hình trong plugin, chẳng hạn như Amazon SES, Google, Mailjet, Resend và Zoho

Kẻ tấn công sau đó có thể tận dụng việc lộ thông tin này để thu thập thông tin xác thực, lạm dụng chúng để gửi email thay mặt cho trang web, cũng như tìm hiểu chi tiết về cấu trúc phần mềm của trang web để làm cơ sở cho các cuộc tấn công tiếp theo.

"Giống như tất cả các lỗ hổng tiết lộ thông tin nhạy cảm, tác động phụ thuộc vào loại dữ liệu bị lộ," Wordfence bổ sung thêm. "Trong trường hợp này, việc lộ thông tin xác thực API của bên thứ ba có nghĩa là kẻ tấn công có thể lạm dụng các dịch vụ email được kết nối của trang web, trong khi báo cáo hệ thống chi tiết giúp giảm đáng kể công sức cần thiết để lên kế hoạch cho các cuộc tấn công tiếp theo vào trang web."

Tình hình khai thác thực tế và khuyến nghị

Bản vá cho lỗ hổng này đã được phát hành trong phiên bản 2.1.5 của plugin. Các tác nhân xấu đã nhanh chóng lợi dụng lỗi này bằng cách gửi các yêu cầu HTTP GET chưa xác thực đến endpoint REST API bị lỗi với tham số truy vấn "?page=gravitysmtp-settings", khiến máy chủ trả về các thông tin giá trị về trang web mà không yêu cầu xác thực.

Wordfence đã chặn hơn 17 triệu nỗ lực khai thác nhắm vào CVE-2026-4020 cho đến nay. Các hoạt động bắt đầu từ đầu tháng 5 năm 2026 trước khi tăng vọt vào khoảng ngày 6 tháng 6 năm 2026, đạt mức cao nhất với hơn 4.000.000 yêu cầu một ngày sau đó. Các nỗ lực khai thác bắt nguồn từ các địa chỉ IP sau:

  • 45.148.10.95
  • 193.32.162.60
  • 176.65.148.139
  • 173.199.90.188
  • 45.148.10.120
  • 185.8.107.155
  • 185.8.106.37
  • 185.8.106.92
  • 185.8.106.145
  • 176.65.148.30

Chủ sở hữu trang web đang sử dụng phiên bản plugin Gravity SMTP lỗi và đã cấu hình tích hợp email bên thứ ba nên giả định rằng hệ thống đã bị xâm nhập. Cần thực hiện đổi (rotate) các thông tin xác thực sau khi cập nhật plugin lên phiên bản mới nhất càng sớm càng tốt. Quản trị viên cũng được khuyên nên xem xét các tệp nhật ký máy chủ để tìm các yêu cầu từ các địa chỉ IP nói trên đến endpoint API.