هکرها از نقص افشای اطلاعات در افزونه Gravity SMTP وردپرس سوءاستفاده می‌کنند

عاملان تهدید در حال سوءاستفاده از یک آسیب‌پذیری افشای اطلاعات بدون نیاز به احراز هویت در افزونه وردپرسی Gravity SMTP هستند؛ افزونه‌ای که روی حدود ۱۰۰ هزار وب‌سایت فعال است.

این نقص امنیتی با شناسه CVE-2026-4020 ردیابی می‌شود و از نظر شدت، در سطح متوسط ارزیابی شده است. این آسیب‌پذیری تمامی نسخه‌های افزونه از نسخه ۲٫۱٫۴ و قدیمی‌تر را تحت تأثیر قرار می‌دهد و در نسخه ۲٫۱٫۵ که در تاریخ ۱۷ مارس منتشر شده، برطرف شده است.

شرکت امنیتی Defiant، فعال در حوزه امنیت وردپرس، هشدار داده است که هکرها به‌صورت فعال در حال بهره‌برداری از این آسیب‌پذیری هستند. فایروال Wordfence متعلق به این شرکت، تاکنون بیش از ۱۷ میلیون تلاش برای سوءاستفاده از این نقص را علیه مشتریان تحت حفاظت خود مسدود کرده است.

این مشکل از یک نقطه پایانی REST API افشاشده در افزونه Gravity SMTP ناشی می‌شود؛ جایی که مقدار permission_callback همواره true بازمی‌گرداند. در نتیجه، درخواست‌های GET بدون احراز هویت می‌توانند یک گزارش کامل JSON با عنوان System Report را که توسط افزونه تولید می‌شود، دریافت کنند.

اطلاعات افشاشده ممکن است شامل موارد زیر باشد:

• کلیدهای API، اسرار محرمانه و توکن‌های OAuth مربوط به یکپارچه‌سازی‌های ایمیلی پیکربندی‌شده
• اطلاعات ورود و اعتبارنامه‌های سرویس‌های ایمیل شخص ثالث، از جمله Amazon SES، Google، Mailjet، Resend و Zoho
• جزئیات پیکربندی وردپرس، از جمله افزونه‌ها، قالب‌ها و نسخه‌های نرم‌افزاری نصب‌شده
• اطلاعات مربوط به سرور و محیط PHP
• جزئیات پیکربندی پایگاه داده، از جمله نسخه سرور و نام جدول‌ها

با وجود اینکه آسیب‌پذیری CVE-2026-4020 از نظر شدت در سطح متوسط طبقه‌بندی شده، اما بهره‌برداری از آن بدون نیاز به احراز هویت امکان‌پذیر است و اطلاعات افشاشده می‌تواند برای سرقت اعتبارنامه‌های سرویس‌های ایمیلی مورد استفاده قرار گیرد.

این موضوع به مهاجم اجازه می‌دهد تا نزد سرویس‌های شخص ثالث، خود را به‌جای قربانی جا بزند و همچنین اطلاعات دقیقی درباره پشته نرم‌افزاری سایت و آسیب‌پذیری‌های احتمالی موجود در آن به دست آورد.

پژوهشگران Wordfence هشدار داده‌اند:

«افشای اعتبارنامه‌های فعال API متعلق به سرویس‌های شخص ثالث به این معناست که مهاجم می‌تواند از سرویس‌های ایمیل متصل به سایت سوءاستفاده کند. همچنین گزارش دقیق سیستم، میزان تلاش لازم برای برنامه‌ریزی حملات بعدی علیه سایت را به‌طور قابل‌توجهی کاهش می‌دهد.»

به گفته Wordfence، فعالیت‌های بهره‌برداری از این آسیب‌پذیری در تاریخ ۷ ژوئن به اوج خود رسید و تنها در همان روز، ۴ میلیون درخواست مخرب مسدود شد. فعالیت مشابهی نیز طی چند روز پس از آن ثبت شده است.

این شرکت امنیتی، فهرستی از پرکارترین آدرس‌های IP مبدأ درخواست‌های بهره‌برداری را منتشر کرده و به مدیران وب‌سایت‌ها توصیه کرده است این آدرس‌ها را به فهرست مسدودی خود اضافه کنند.

یکی از شاخص‌های مهم آلودگی یا تلاش برای بهره‌برداری، مشاهده درخواست‌هایی به مسیر زیر در لاگ‌های دسترسی وب‌سرور است:

/wp-json/gravitysmtp/v1/tests/mock-data

به‌ویژه درخواست‌هایی که شامل پارامتر کوئری زیر باشند:

?page=gravitysmtp-settings

روز گذشته، این شرکت همچنین یک هشدار امنیتی جداگانه درباره یک آسیب‌پذیری بحرانی دیگر در افزونه وردپرسی Avada Builder منتشر کرد؛ افزونه‌ای که روی حدود یک میلیون سایت مورد استفاده قرار دارد. این نقص امکان حذف دلخواه فایل‌ها بدون نیاز به احراز هویت را فراهم می‌کند.

این آسیب‌پذیری با شناسه CVE-2026-8713 شناسایی شده و به مهاجمان اجازه می‌دهد از طریق یک نقص Path Traversal، فایل‌های دلخواه را از روی سرور حذف کنند؛ البته به شرطی که یک فرم منتشرشده Avada برای ذخیره ارسال‌ها در پایگاه داده پیکربندی شده باشد.

حذف فایل‌های حیاتی، مانند فایل زیر:

wp-config.php

می‌تواند سایت را به وضعیت اولیه نصب بازگرداند و در نهایت منجر به تصاحب کامل سایت و حتی اجرای کد از راه دور شود.

این مشکل در نسخه ۳٫۱۵٫۴ برطرف شده است و به مدیران وب‌سایت‌ها توصیه می‌شود در سریع‌ترین زمان ممکن افزونه را به این نسخه ارتقا دهند. تاکنون هیچ بهره‌برداری فعالی از آسیب‌پذیری CVE-2026-8713 مشاهده نشده، اما با توجه به ماهیت خطرناک این نقص، احتمال سوءاستفاده از آن بالاست و اقدام فوری توصیه می‌شود.