Des cybercriminels exploitent une faille de divulgation d’informations qui ne requiert aucune authentification dans l’extension WordPress Gravity SMTP. Cette extension est installée sur 100 000 sites.
Cette vulnérabilité, référencée sous le code CVE-2026-4020, a été classée avec un niveau de gravité moyen. Elle concerne toutes les versions de l’extension depuis la 2.1.4 et les précédentes. Une correction a été publiée dans la version 2.1.5, qui est disponible depuis le 17 mars.
La société de sécurité WordPress Defiant alerte sur des exploitations actives de cette faille. Le pare-feu Wordfence de l’entreprise a bloqué plus de 17 millions de tentatives d’attaque contre ses clients protégés.
Le problème provient d’un point de terminaison de l’API REST qui est exposé dans Gravity SMTP. Son paramètre ‘permission_callback’ retourne toujours ‘true’, ce qui autorise des requêtes GET non authentifiées à recevoir un rapport système JSON complet que l’extension génère. Les informations exposées peuvent inclure :
- Les clés API, les secrets et les tokens OAuth pour les intégrations de messagerie configurées
- Les identifiants pour les services de messagerie tiers, comme Amazon SES, Google, Mailjet, Resend et Zoho
- Les détails de configuration WordPress, comme les extensions installées, les thèmes et les versions des logiciels
- Des informations sur l’environnement serveur et PHP
- Les détails de configuration de la base de données, comme la version du serveur et les noms des tables
Malgré son niveau de gravité moyen, la vulnérabilité CVE-2026-4020 peut être exploitée sans authentification. Les informations divulguées peuvent ensuite être utilisées pour dérober les identifiants des services de messagerie.
Un attaquant peut alors se faire passer pour la victime auprès de tiers. Il peut aussi obtenir des informations détaillées sur la pile logicielle du site et sur les vulnérabilités potentielles qui existent.
« La divulgation d’identifiants API tiers en activité signifie qu’un attaquant pourrait utiliser abusivement les services de messagerie connectés au site. Le rapport système détaillé réduit aussi considérablement le travail nécessaire pour planifier des attaques supplémentaires contre le site », expliquent les chercheurs de Wordfence.
Wordfence indique que l’activité d’exploitation a fortement augmenté le 7 juin, avec 4 millions de requêtes bloquées ce jour-là. Une activité similaire a été enregistrée pendant plusieurs jours ensuite.
Source : Wordfence
L’entreprise de sécurité a listé les adresses IP source les plus prolifiques pour les requêtes d’exploitation. Les administrateurs de sites web doivent ajouter ces adresses à leurs listes de blocage.
Un indicateur clé de compromission est la présence de requêtes vers ‘/wp-json/gravitysmtp/v1/tests/mock-data’ dans les journaux d’accès du serveur web, surtout celles qui incluent le paramètre de requête ‘?page=gravitysmtp-settings’.
La société a aussi publié un avertissement distinct hier concernant une faille critique de suppression arbitraire de fichiers qui ne requiert aucune authentification dans l’extension WordPress Avada Builder. Cette extension est utilisée sur un million de sites.
Cette vulnérabilité est identifiée comme CVE-2026-8713. Elle permet aux attaquants de supprimer des fichiers arbitraires sur le serveur via une faille de traversée de chemin, à condition qu’un formulaire Avada publié soit configuré pour sauvegarder les soumissions dans la base de données.
La suppression de fichiers critiques, comme wp-config.php, peut ramener le site à son état de configuration initial. Cette situation pourrait entraîner une prise de contrôle totale du site et une exécution de code à distance.
Le problème a été corrigé dans la version 3.15.4, que les administrateurs de sites web doivent installer. Aucune exploitation active de CVE-2026-8713 n’a été observée jusqu’à présent, mais cette vulnérabilité est une candidate probable, et une action rapide est donc recommandée.