WordPress 用メール送信プラグイン Gravity SMTP の情報漏洩欠陥 CVE-2026-4020 (バージョン 2.1.4 以下) を狙う攻撃が、5 月の活動本格化から継続して観測されています。WAF 提供元 Wordfence は、関連する悪用試行を 1700 万件以上ブロックしたと公表しました。初報の脆弱性公表は 2026 年 3 月 31 日。
主なポイント
- 欠陥は REST API エンドポイント
/wp-json/gravitysmtp/v1/tests/mock-dataの権限チェックが無条件でtrueを返す実装にある - 認証なしで「System Report」 JSON (約 365KB) を取得でき、PHP / DB バージョン、有効化プラグイン一覧、プラグインに設定された API キーやトークンまで露呈する
- CrowdSec は 5 月 27 日に実際の悪用を初観測、6 月 1 日時点で 412 件の攻撃元 IP を確認
- 影響を受けるのは 10 万サイト前後のインストールベース。修正版 2.1.5 以降への更新が必要
出典: WordPress Email Plugin Flaw Triggers 17 Million Attacks: Gravity SMTP Leaks Live API Keys