هکرها از آسیب‌پذیری افزونه Gravity SMTP وردپرس برای افشای کلیدهای API سوءاستفاده کردند

هکرها از آسیب‌پذیری افزونه Gravity SMTP وردپرس برای افشای کلیدهای API سوءاستفاده کردند

یک آسیب‌پذیری امنیتی در افزونه Gravity SMTP وردپرس باعث شده مهاجمان سایبری بتوانند اطلاعات حساسی مانند کلیدهای API، توکن‌های OAuth و اطلاعات پیکربندی ایمیل را استخراج کنند. این افزونه روی حدود ۱۰۰ هزار وب‌سایت وردپرسی نصب شده و همین موضوع باعث شده این نقص امنیتی توجه گسترده مهاجمان را جلب کند.

بر اساس گزارش شرکت امنیتی Wordfence، مهاجمان قبل از اینکه بسیاری از مدیران سایت‌ها افزونه را به‌روزرسانی کنند، شروع به سوءاستفاده از این آسیب‌پذیری کرده‌اند.


آسیب‌پذیری CVE-2026-4020 چیست؟

این نقص امنیتی با شناسه CVE-2026-4020 ثبت شده و امتیاز 5.3 در سیستم CVSS دریافت کرده است. این امتیاز نشان‌دهنده یک آسیب‌پذیری با شدت متوسط است، اما به دلیل نوع داده‌هایی که افشا می‌شوند، می‌تواند تهدیدی جدی برای امنیت وب‌سایت‌های وردپرسی محسوب شود.

در واقع مشکل از یک REST API endpoint در افزونه Gravity SMTP ناشی می‌شود که بدون احراز هویت قابل دسترسی بوده است.

مسیر آسیب‌پذیر به شکل زیر بوده است:

                                    content_copy                    text/wp-json/gravitysmtp/v1/tests/mock-data

در این endpoint یک تابع permission_callback وجود داشته که بدون هیچ شرطی مقدار true برمی‌گردانده است. این یعنی هر کاربر ناشناس می‌توانسته به این مسیر دسترسی داشته باشد.


نحوه سوءاستفاده از این آسیب‌پذیری

مهاجمان با ارسال یک درخواست HTTP ساده و اضافه کردن پارامتر زیر به URL می‌توانستند اطلاعات سایت را دریافت کنند:

                                    content_copy                    text?page=gravitysmtp-settings

در این حالت متد داخلی افزونه به نام register_connector_data() اجرا می‌شد و اطلاعات مربوط به اتصال سرویس‌های ایمیلی را بارگذاری می‌کرد.

خروجی این درخواست یک فایل JSON حدود ۳۶۵ کیلوبایتی شامل گزارش کامل سیستم بود.


چه اطلاعاتی از سایت‌ها افشا می‌شد؟

گزارش سیستم تولیدشده شامل طیف گسترده‌ای از اطلاعات حساس بود، از جمله:

  • نسخه PHP
  • نسخه وردپرس
  • لیست افزونه‌های فعال و نسخه آن‌ها
  • قالب فعال سایت
  • نسخه وب سرور
  • نوع و نسخه دیتابیس
  • مسیر document root
  • اطلاعات پیکربندی وردپرس
  • نام جداول پایگاه داده

اما مهم‌ترین بخش افشا مربوط به اطلاعات سرویس‌های ایمیلی متصل به افزونه بود.


افشای کلیدهای API سرویس‌های ایمیلی

طبق گزارش منتشرشده، این آسیب‌پذیری می‌توانست اطلاعات زیر را افشا کند:

  • کلیدهای API سرویس Amazon SES
  • توکن‌های مربوط به Google
  • اطلاعات اتصال Mailjet
  • داده‌های سرویس Resend
  • توکن‌های سرویس Zoho

در صورت دسترسی مهاجم به این اطلاعات، امکان ارسال ایمیل از طرف سایت قربانی یا سوءاستفاده از سرویس‌های ایمیلی متصل به سایت وجود دارد.


چرا این آسیب‌پذیری خطرناک است؟

اگرچه این نقص به مهاجم اجازه ورود مستقیم به پنل مدیریت وردپرس را نمی‌دهد، اما اطلاعاتی که افشا می‌شوند می‌توانند برای برنامه‌ریزی حملات پیچیده‌تر استفاده شوند.

به عنوان مثال مهاجمان می‌توانند:

  • ساختار نرم‌افزاری سایت را شناسایی کنند
  • افزونه‌های نصب‌شده را بررسی کنند
  • نسخه‌های آسیب‌پذیر نرم‌افزارها را پیدا کنند
  • حملات هدفمند بعدی را طراحی کنند

آمار حملات ثبت‌شده

بر اساس داده‌های Wordfence:

  • بیش از ۱۷ میلیون تلاش برای سوءاستفاده از این آسیب‌پذیری مسدود شده است.
  • فعالیت مهاجمان از اوایل ماه مه ۲۰۲۶ آغاز شده است.
  • موج اصلی حملات در ۶ ژوئن ۲۰۲۶ رخ داده است.
  • در یک روز بیش از ۴ میلیون درخواست مخرب ثبت شده است.

برخی از IPهای گزارش‌شده برای این حملات عبارتند از:

                                    content_copy                    text45.148.10.95
193.32.162.60
176.65.148.139
173.199.90.188
45.148.10.120
185.8.107.155
185.8.106.37
185.8.106.92
185.8.106.145
176.65.148.30

افزونه Gravity SMTP چیست؟

Gravity SMTP یکی از افزونه‌های وردپرس برای مدیریت ارسال ایمیل از طریق سرورهای SMTP و سرویس‌های ایمیل شخص ثالث است.

از این افزونه معمولاً برای موارد زیر استفاده می‌شود:

  • ارسال ایمیل‌های سایت
  • ارسال اعلان‌ها
  • ایمیل‌های تراکنشی
  • ارتباط با کاربران

به همین دلیل اطلاعات ذخیره‌شده در آن معمولاً شامل کلیدهای دسترسی به سرویس‌های ایمیلی خارجی است.


راهکار رفع آسیب‌پذیری

این نقص امنیتی در نسخه 2.1.5 افزونه Gravity SMTP برطرف شده است.

اگر از این افزونه استفاده می‌کنید، توصیه می‌شود اقدامات زیر را انجام دهید:

  • افزونه Gravity SMTP را فوراً به نسخه 2.1.5 یا جدیدتر به‌روزرسانی کنید.
  • لاگ‌های سرور را برای درخواست‌های مشکوک بررسی کنید.
  • در صورت احتمال افشای اطلاعات، کلیدهای API سرویس‌های ایمیل را تغییر دهید.
  • دسترسی‌های غیرضروری را حذف کنید.

جمع‌بندی

آسیب‌پذیری CVE-2026-4020 در افزونه Gravity SMTP نمونه‌ای دیگر از خطرات امنیتی در افزونه‌های پرکاربرد وردپرس است. به دلیل نصب گسترده این افزونه، مهاجمان توانستند با ارسال درخواست‌های خودکار، تلاش‌های گسترده‌ای برای استخراج اطلاعات حساس از وب‌سایت‌ها انجام دهند.

این حادثه نشان می‌دهد که به‌روزرسانی منظم افزونه‌ها و نظارت بر لاگ‌های امنیتی یکی از مهم‌ترین اقدامات برای حفظ امنیت سایت‌های وردپرسی است.

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر