CVE-2026-4020: Ujawnienie wrażliwych informacji w wtyczce Gravity SMTP dla WordPress
Wtyczka Gravity SMTP WordPress do 2.1.4 ujawnia wrażliwe dane przez niezabezpieczony endpoint REST API. Zalecane szybkie aktualizacje i monitorowanie.
- CVSS
- 7.5 HIGH
- EPSS
- 98.44%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Gravity SMTP dla WordPress w wersjach do 2.1.4 umożliwia nieautoryzowany dostęp do szczegółowych danych systemowych poprzez niezabezpieczony endpoint REST API. Atakujący mogą uzyskać informacje takie jak wersje PHP, serwera, aktywne wtyczki i klucze API.
Wpływ biznesowy
Niezabezpieczony dostęp do szczegółowych informacji o konfiguracji systemu i WordPressa może ułatwić atakującym planowanie dalszych ataków, zwiększając ryzyko naruszenia bezpieczeństwa i utraty danych. Operatorzy powinni traktować tę lukę jako wysokiego ryzyka, szczególnie w środowiskach produkcyjnych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Gravity SMTP i ich zastosowanie. W przypadku braku łatki należy ograniczyć dostęp do endpointu REST API, monitorować logi pod kątem nieautoryzowanych zapytań oraz przeprowadzić audyt konfiguracji i kluczy API. Priorytetowo traktuj aktualizacje i zabezpieczenia wtyczek WordPress.