CVE-2026-4020: Ujawnienie wrażliwych informacji w wtyczce Gravity SMTP dla WordPress

Wtyczka Gravity SMTP WordPress do 2.1.4 ujawnia wrażliwe dane przez niezabezpieczony endpoint REST API. Zalecane szybkie aktualizacje i monitorowanie.
CVE-2026-4020CVSS 7.5Web

CVE-2026-4020: Ujawnienie wrażliwych informacji w wtyczce Gravity SMTP dla WordPress

Wtyczka Gravity SMTP WordPress do 2.1.4 ujawnia wrażliwe dane przez niezabezpieczony endpoint REST API. Zalecane szybkie aktualizacje i monitorowanie.

CVSS
7.5 HIGH
EPSS
98.44%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Gravity SMTP dla WordPress w wersjach do 2.1.4 umożliwia nieautoryzowany dostęp do szczegółowych danych systemowych poprzez niezabezpieczony endpoint REST API. Atakujący mogą uzyskać informacje takie jak wersje PHP, serwera, aktywne wtyczki i klucze API.

Wpływ biznesowy

Niezabezpieczony dostęp do szczegółowych informacji o konfiguracji systemu i WordPressa może ułatwić atakującym planowanie dalszych ataków, zwiększając ryzyko naruszenia bezpieczeństwa i utraty danych. Operatorzy powinni traktować tę lukę jako wysokiego ryzyka, szczególnie w środowiskach produkcyjnych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Gravity SMTP i ich zastosowanie. W przypadku braku łatki należy ograniczyć dostęp do endpointu REST API, monitorować logi pod kątem nieautoryzowanych zapytań oraz przeprowadzić audyt konfiguracji i kluczy API. Priorytetowo traktuj aktualizacje i zabezpieczenia wtyczek WordPress.

Źródła