脅威アクターは、100,000 のサイトでアクティブな WordPress プラグイン Gravity SMTP のパッチが適用されていない情報漏えいの脆弱性を悪用しています。
この欠陥は CVE-2026-4020 として追跡されており、重大度は中程度と評価されています。これはプラグイン 2.1.4 以前のすべてのバージョンに影響し、3 月 17 日にリリースされたバージョン 2.1.5 で解決されました。
WordPress セキュリティ会社 Defiant は、ハッカーがこの脆弱性を積極的に悪用していると警告しています。同社の WordFence ファイアウォールは、保護された顧客に対する 1,700 万件を超える試行をブロックしました。
この問題は、Gravity SMTP で公開された REST API エンドポイントに起因します。このエンドポイントの「permission_callback」は常に「true」を返します。これにより、認証されていない GET リクエストが、プラグインによって生成された包括的な JSON「システム レポート」を受信できるようになります。公開される情報には次のものが含まれる場合があります。
- 構成された電子メール統合用の API キー、シークレット、OAuth トークン
- Amazon SES、Google、Mailjet、ReSend、Zoho などのサードパーティ電子メール サービスの認証情報
- インストールされているプラグイン、テーマ、ソフトウェアのバージョンなどの WordPress 設定の詳細
- サーバーとPHPの環境情報
- サーバーのバージョンやテーブル名などのデータベース構成の詳細
CVE-2026-4020 の脆弱性は、重大度が中であるにもかかわらず、認証なしで悪用される可能性があり、公開された情報は電子メール サービスの資格情報を盗むために使用される可能性があります。
これにより、攻撃者は被害者を第三者に提示し、サイトのソフトウェア スタックと存在する可能性のある潜在的な脆弱性に関する詳細情報を取得することができます。
Wordfence の研究者らは、「ライブのサードパーティ API 認証情報が公開されるということは、攻撃者がサイトに接続されている電子メール サービスを悪用できることを意味します。一方、詳細なシステム レポートにより、サイトに対するさらなる攻撃を計画するために必要な労力が大幅に削減されます。」と警告しています。
Wordfenceによると、エクスプロイト活動のピークは6月7日で、その日は400万件のリクエストがブロックされたという。その後、同様の活動が数日間記録されました。
出典: ワードフェンス
セキュリティ会社は、Web サイト管理者がブロックリストに追加する必要があるエクスプロイト リクエストの最も多量な送信元 IP アドレスをリストしました。
侵害の主な兆候は、Web サーバーのアクセス ログで見つかる「/wp-json/gravitysmtp/v1/tests/mock-data」へのリクエストであり、具体的には「?page=gravitysmtp-settings」クエリ パラメータが含まれます。
昨日、同社は、100万以上のサイトで使用されているAvada Builder WordPressプラグインに存在する、パッチが適用されていない恣意的なファイル削除の重大な欠陥に関して、別の勧告を発行した。
この脆弱性は CVE-2026-8713 として特定されており、公開された Avada フォームが送信内容をデータベースに保存するように設定されている場合、攻撃者はパス トラバーサルの欠陥を介してサーバー上の任意のファイルを削除することができます。
重要なファイルの削除。 wp-config.phpサイトを初期設定状態に戻すことができ、サイト全体が乗っ取られ、リモートでコードが実行される可能性があります。
この問題は、Web サイト管理者に推奨されるアップグレード対象であるバージョン 3.15.4 で修正されました。 CVE-2026-8713 の積極的な悪用はまだ観察されていませんが、有力な候補であるため、迅速な対応をお勧めします。
セキュリティ チームは成功した攻撃の 54% を記録し、警告を発するのは 14% のみです。残りの人々はあなたの環境内を目に見えず動き回ります。
Pikus ホワイトペーパーでは、侵害と攻撃のシミュレーションで SIEM と EDR ルールをテストし、脅威の検出を防ぐ方法を示しています。
ホワイトペーパーを入手する
Leave a Reply