WordPress 外掛 Gravity SMTP 出現嚴重漏洞,10 萬網站 API 金鑰恐遭竊
編輯核心觀點
- ✦WordPress 外掛 Gravity SMTP 存在未經授權即可存取的嚴重漏洞(CVE-2026-4020),導致 API 金鑰與系統機敏資訊外洩。
- ✦資安公司 Wordfence 自 5 月初以來已攔截超過 1,700 萬次攻擊,駭客利用此漏洞獲取網站配置,進而發動釣魚或商業郵件詐騙。
- ✦即使已更新至 2.1.5 版本修補漏洞,專家警告網站管理員仍須立即更換所有已設定的 API 金鑰與 OAuth 權杖,以防遭後續濫用。

WordPress 外掛漏洞遭大規模利用
WordPress 外掛 Gravity SMTP 近期爆發嚴重資安漏洞,編號為 CVE-2026-4020。該漏洞允許未經授權的攻擊者,僅需發送一個 HTTP 請求,即可竊取網站的 API 金鑰、OAuth 權杖以及詳細的系統配置資料。據資安公司 Wordfence 指出,目前約有 10 萬個 WordPress 網站安裝了此插件,自 5 月初發現攻擊活動以來,Wordfence 已攔截超過 1,700 萬次針對此漏洞的攻擊嘗試。
漏洞成因與影響範圍
該漏洞的核心在於 REST API 端點 /wp-json/gravitysmtp/v1/tests/mock-data 的權限檢查機制失效,其 permission_callback 函數會無條件回傳「true」,導致伺服器在未驗證身分的情況下處理請求。當攻擊者在查詢參數中加入 ?page=gravitysmtp-settings 時,系統會回傳約 365 KB 的 JSON 檔案,內容包含網站完整的系統報告。
「第三方 API 憑證的曝光,意味著攻擊者可以濫用該網站連結的電子郵件服務,而詳細的系統報告則大幅降低了針對該網站進行後續攻擊的偵察成本。」—— Wordfence 研究人員
外洩的資料不僅限於 Amazon SES、Google、Mailjet、Resend 與 Zoho 等郵件服務的憑證,還包括 WordPress 版本、PHP 版本、伺服器資訊、資料庫結構以及已安裝的主題與插件清單。這些資訊為攻擊者提供了完整的網站技術架構圖,使其能更精準地規劃後續攻擊。
攻擊模式與防禦建議
根據開源威脅情報平台 CrowdSec 的觀察,該漏洞在 5 月 27 日出現首次實際攻擊,並於 6 月 1 日被納入自動化掃描流程中。攻擊高峰出現在 6 月 6 日,Wordfence 單日即攔截超過 400 萬次請求。雖然開發商已於 3 月 17 日發布 2.1.5 版本修補該漏洞,但由於許多網站管理員未及時更新或監控變更紀錄,導致漏洞持續被利用。
Wordfence 強烈建議網站管理員採取以下行動:
- 立即將 Gravity SMTP 更新至 2.1.5 或更新版本。
- 更新後,必須立即撤銷並重新產生(Rotate)所有已設定的 API 金鑰、Secrets 與 OAuth 權杖。
- 檢查伺服器存取日誌,確認是否有來自已知攻擊者 IP 位址的異常請求。
此外,Wordfence 本週也針對安裝量約 100 萬的 Avada Builder 插件發布了另一項嚴重漏洞(CVE-2026-8713)警示,該漏洞涉及未經授權的任意檔案刪除,可能導致網站被完全接管,目前版本 3.15.4 已提供修補程式。



