An ninh mạng

Cảnh báo: Lỗ hổng trong plugin Gravity SMTP bị khai thác để đánh cắp API Key

Các hacker đang tích cực khai thác một lỗ hổng bảo mật trên plugin Gravity SMTP cho WordPress, cho phép kẻ tấn công không cần xác thực vẫn có thể truy cập dữ liệu nhạy cảm và API...

Nguyen Hung
20 Tháng 6, 2026 2 Min Read
3 0

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trên Gravity SMTP, plugin WordPress hiện đang được sử dụng trên khoảng 100.000 trang web. Các nhóm tội phạm mạng đang tích cực khai thác lỗ hổng này để thu thập thông tin nhạy cảm từ các trang web mục tiêu.

Table Of Content

Chi tiết lỗ hổng CVE-2026-4020

Lỗ hổng này được định danh là CVE-2026-4020 (điểm CVSS 5.3), thuộc nhóm lỗ hổng tiết lộ thông tin. Theo Wordfence, vấn đề nằm ở một endpoint REST API (/wp-json/gravitysmtp/v1/tests/mock-data) có cơ chế kiểm tra quyền truy cập bị lỗi, cho phép bất kỳ người dùng nào chưa xác thực cũng có thể truy cập.

Khi kẻ tấn công thêm tham số ?page=gravitysmtp-settings vào URL, plugin sẽ kích hoạt phương thức register_connector_data(), trả về một tệp JSON chứa toàn bộ báo cáo hệ thống (System Report) với dung lượng khoảng 365 KB.

Những dữ liệu bị rò rỉ

Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công thu thập hàng loạt thông tin quan trọng, bao gồm:

  • Thông tin cấu hình hệ thống: Phiên bản PHP, web server, cơ sở dữ liệu và phiên bản WordPress.
  • Danh sách plugin và theme đang kích hoạt.
  • Đường dẫn thư mục gốc (document root).
  • Đặc biệt nguy hiểm: Các API key và token của các dịch vụ email tích hợp như Amazon SES, Google, Mailjet, Resend và Zoho.

Việc lộ lọt các API key này giúp kẻ tấn công có thể mạo danh trang web để gửi email độc hại, đồng thời sử dụng các thông tin hệ thống chi tiết làm bàn đạp cho các cuộc tấn công sâu hơn vào hạ tầng.

Khuyến nghị cho quản trị viên

Nhà phát triển đã tung ra bản vá trong phiên bản 2.1.5. Người dùng đang sử dụng các phiên bản cũ hơn cần cập nhật ngay lập tức.

Ngoài ra, nếu trang web của bạn đã cấu hình các dịch vụ email bên thứ ba trong plugin này, hãy thực hiện các bước sau:

  1. Cập nhật plugin lên phiên bản mới nhất ngay lập tức.
  2. Thay đổi toàn bộ thông tin xác thực (credentials/API keys) đã lưu trong plugin vì khả năng cao chúng đã bị lộ.
  3. Kiểm tra log của server để tìm kiếm các yêu cầu bất thường nhắm vào endpoint API nêu trên từ các địa chỉ IP đáng ngờ.

Wordfence cho biết họ đã chặn hơn 17 triệu nỗ lực khai thác lỗ hổng này kể từ đầu tháng 5/2026, với tần suất tấn công tăng đột biến vào đầu tháng 6.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept