Những kẻ tấn công đang tích cực khai thác lỗ hổng trong plugin Gravity SMTP WordPress hiển thị khóa API, mã thông báo OAuth và dữ liệu cấu hình hệ thống chi tiết cho bất kỳ ai gửi một yêu cầu HTTP không được xác thực. Wordfence, công ty bảo mật WordPress thuộc sở hữu của Defiant, cho biết họ đã chặn hơn 17 triệu nỗ lực khai thác nhắm vào lỗ hổng kể từ khi hoạt động bắt đầu vào đầu tháng 5 năm 2026. Plugin này được cài đặt trên khoảng 100.000 trang web WordPress.
Lỗ hổng, được theo dõi là CVE-2026-4020 và được Wordfence xếp hạng 5,3 trên thang CVSS, ảnh hưởng đến tất cả các phiên bản của Gravity SMTP cho đến 2.1.4. Một bản vá đã được phát hành ở phiên bản 2.1.5 vào ngày 17 tháng 3 năm 2026, nhưng việc khai thác chỉ bắt đầu cho đến khoảng hai tháng sau, cho thấy những kẻ tấn công đã thiết kế ngược bản sửa lỗi hoặc phát hiện ra lỗ hổng một cách độc lập sau khi bản vá thu hút sự chú ý.
Nguyên nhân sâu xa là do điểm cuối API REST được đăng ký tại /wp-json/Gravitysmtp/v1/tests/mock-data với hàm allow_callback trả về giá trị đúng vô điều kiện. Điều đó có nghĩa là không có kiểm tra xác thực nào được thực hiện trước khi máy chủ xử lý yêu cầu. Khi kẻ tấn công thêm tham số truy vấn ?page=Gravitysmtp-settings, phương thức register_connector_data() của plugin sẽ điền dữ liệu trình kết nối nội bộ và điểm cuối trả về khoảng 365 KB JSON chứa báo cáo hệ thống đầy đủ của trang web.
Dữ liệu bị lộ bao gồm khóa API, bí mật và mã thông báo OAuth cho mọi tích hợp email được định cấu hình trong plugin. Gravity SMTP hỗ trợ Amazon SES, Google, Mailjet, Resend và Zoho, đồng thời thông tin đăng nhập cho bất kỳ dịch vụ nào trong số này sẽ xuất hiện trong phản hồi nếu chúng đã được định cấu hình. Kẻ tấn công có được những thông tin xác thực đó có thể gửi email thay mặt cho trang web bị xâm nhập, một khả năng hữu ích cho các chiến dịch lừa đảo và xâm phạm email doanh nghiệp.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Báo cáo hệ thống cũng chứa phiên bản WordPress, phiên bản PHP và các tiện ích mở rộng đã tải, phiên bản máy chủ web, đường dẫn gốc của tài liệu, loại và phiên bản máy chủ cơ sở dữ liệu, tất cả các plugin đang hoạt động cùng với số phiên bản, chủ đề đang hoạt động và tên bảng cơ sở dữ liệu. Thông tin đó cung cấp cho kẻ tấn công bản đồ chi tiết về ngăn xếp phần mềm của trang web, giảm đáng kể nỗ lực trinh sát cần thiết để lên kế hoạch cho các cuộc tấn công tiếp theo nhằm vào các lỗ hổng đã biết trong các phiên bản máy chủ hoặc plugin cụ thể.
“Việc lộ thông tin xác thực API trực tiếp của bên thứ ba có nghĩa là kẻ tấn công có thể lạm dụng các dịch vụ email được kết nối của trang web, trong khi báo cáo hệ thống chi tiết làm giảm đáng kể nỗ lực cần thiết để lên kế hoạch cho các cuộc tấn công tiếp theo chống lại trang web,”Các nhà nghiên cứu của Wordfence đã viết trong lời khuyên của họ.
Khối lượng khai thác tăng đột biến vào khoảng ngày 6 tháng 6 năm 2026, trong đó Wordfence chặn hơn 4 triệu yêu cầu chỉ trong một ngày vào ngày 7 tháng 6. Lưu lượng tấn công chủ yếu bắt nguồn từ một cụm địa chỉ IP mà Wordfence xuất bản để quản trị viên thêm vào danh sách chặn. Dấu hiệu chính của sự xâm phạm là các yêu cầu tới /wp-json/Gravitysmtp/v1/tests/mock-data trong nhật ký truy cập máy chủ web, đặc biệt là các yêu cầu có chứa tham số truy vấn ?page=Gravitysmtp-settings.
CrowdSec, nền tảng thông tin về mối đe dọa mã nguồn mở, đã chứng thực dòng thời gian một cách độc lập. Nó đã triển khai việc phát hiện CVE-2026-4020 vào ngày 22 tháng 5 và quan sát lần khai thác trong thế giới thực đầu tiên vào ngày 27 tháng 5. Đến ngày 1 tháng 6, hoạt động này đã được phân loại là tiếng ồn xung quanh, cho thấy nó đã được tích hợp vào quy trình quét tự động để quét các trang web WordPress trên quy mô lớn.
Tốc độ khai thác được công nghiệp hóa phản ánh mô hình rộng hơn trong bảo mật plugin WordPress. Lỗ hổng này không yêu cầu xác thực, nhắm mục tiêu vào một plugin được cài đặt rộng rãi và trả về dữ liệu có giá trị cao trong một yêu cầu GET duy nhất, khiến việc tự động hóa trở nên đơn giản. Hệ sinh thái plugin của WordPress đã phải đối mặt với những thỏa hiệp lặp đi lặp lại trong chuỗi cung ứng vào năm 2026, bao gồm cả một cuộc tấn công trong đó 30 plugin mua trên Flippa đã bị cài backdoor và không hoạt động trong 8 tháng trước khi kích hoạt.
Lỗ hổng Gravity SMTP khác với các cuộc tấn công chuỗi cung ứng ở chỗ nó không liên quan đến mã độc do nhà phát triển bị xâm nhập đưa vào. Đó là một lỗi mã hóa đơn giản, một lệnh gọi lại quyền lẽ ra phải xác minh thông tin xác thực của người dùng yêu cầu nhưng thay vào đó lại trả về true cho mọi yêu cầu. Sự đơn giản của lỗ hổng khiến cho sự tồn tại của nó thông qua quá trình phát triển, đánh giá và phát hành trở nên đáng chú ý.
Việc lộ thông tin xác thực API đặc biệt nguy hiểm vì những thông tin xác thực đó thường tồn tại ngay cả sau khi cập nhật plugin. Việc cập nhật lên phiên bản 2.1.5 sẽ đóng điểm cuối dễ bị tấn công nhưng không thu hồi hoặc thay đổi các khóa API có thể đã được thu thập. Đánh cắp thông tin xác thực thông qua lỗi phần mềm đang là một vấn đề đang gia tăng trong toàn ngành, với nghiên cứu gần đây cho thấy thông tin xác thực API bị lộ sẽ bị khai thác trong vòng vài phút sau khi bị phát hiện.
Lời khuyên của Wordfence kêu gọi các chủ sở hữu trang web đang chạy phiên bản Gravity SMTP dễ bị tấn công, những người đã định cấu hình tích hợp email của bên thứ ba để chấp nhận sự thỏa hiệp. Biện pháp khắc phục được đề xuất là cập nhật plugin lên phiên bản 2.1.5 trở lên, sau đó xoay ngay tất cả các khóa API, bí mật và mã thông báo OAuth được định cấu hình trong trình kết nối email của plugin. Quản trị viên cũng nên xem lại tệp nhật ký máy chủ để tìm các yêu cầu từ địa chỉ IP của kẻ tấn công đã công bố.
CVE được xuất bản vào ngày 31 tháng 3 năm 2026, hai tuần sau khi bản vá được xuất xưởng. Bất chấp khoảng thời gian ba tháng giữa thời điểm có bản vá và thời điểm khai thác cao điểm, nhiều trang web vẫn dễ bị tấn công. Khoảng cách giữa thời điểm có bản vá và thời điểm các tổ chức triển khai chúng là một trong những vấn đề dai dẳng nhất trong bảo mật phần mềm và các plugin WordPress đặc biệt dễ gặp phải vấn đề này vì nhiều nhà điều hành trang web không theo dõi nhật ký thay đổi plugin hoặc bật cập nhật tự động.
Wordfence cũng đã đưa ra lời khuyên riêng trong tuần này cho CVE-2026-8713, một lỗ hổng xóa tệp tùy ý nghiêm trọng không được xác thực trong plugin Avada Builder, được cài đặt trên khoảng một triệu trang web WordPress. Lỗ hổng đó cho phép kẻ tấn công xóa các tệp trên máy chủ thông qua lỗi truyền tải đường dẫn và việc xóa wp-config.php có thể hoàn nguyên một trang web về trạng thái thiết lập ban đầu, có khả năng cho phép tiếp quản hoàn toàn.
Bản vá cho lỗ hổng Avada Builder đã có sẵn trong phiên bản 3.15.4 và chưa thấy hoạt động khai thác CVE-2026-8713 nào được phát hiện.
Wordfence không quy việc khai thác Gravity SMTP cho một tác nhân hoặc nhóm đe dọa cụ thể. Mô hình quét hàng loạt từ một cụm địa chỉ IP nhỏ phù hợp với việc thu thập thông tin xác thực theo cơ hội thay vì xâm nhập có chủ đích, mặc dù thông tin xác thực bị đánh cắp có thể được bán hoặc chia sẻ với các nhà khai thác phức tạp hơn để thực hiện các cuộc tấn công tiếp theo.
Nguồn The Next Web