現在、10万件以上のアクティブインストールを誇る人気WordPressメールプラグイン「Gravity SMTP」の機密情報漏えい脆弱性を標的とした大規模な悪用キャンペーンが活発化しています。
Wordfenceのセキュリティ研究者によると、この脆弱性が公開されて以来、1,700万件以上の悪用試行をブロックしており、攻撃は2026年6月7日にピークを迎え、1日で400万件超の試行が記録されました。
CVE-2026-4020として追跡されているこの脆弱性はCVSSスコア5.3(中程度)と評価されており、Gravity SMTPのバージョン2.1.4以前のすべてに影響します。
この脆弱性の原因は、/wp-json/gravitysmtp/v1/tests/mock-dataに登録されたREST APIエンドポイントの設定ミスにあります。当該エンドポイントのpermission_callbackは無条件にtrueを返すよう実装されており、認証を持たない第三者であっても自由にアクセスできる状態となっています。
攻撃者がこのエンドポイントに?page=gravitysmtp-settingsクエリパラメータを付加すると、プラグインのregister_connector_data()メソッドが内部コネクタデータを読み込み、約365KBのJSONデータがレスポンスとして返されます。
このレスポンスには、PHPバージョン、ロード済み拡張モジュール、Webサーバーのバージョン、ドキュメントルートのパス、データベースサーバーの種類とバージョン、WordPress設定情報、バージョン番号を含む全アクティブプラグインの一覧、有効テーマ、データベーステーブル名といった機密性の高いサイト情報が網羅されています。
とりわけ深刻なのは、Amazon SES、Google、Mailjet、Resend、Zohoなどのメール配信連携に設定されたAPIキー、シークレット、OAuthトークンといった認証情報が平文で含まれている点です。
これらの認証情報を入手した攻撃者は、侵害されたサイトになりすましてメールを送信したり、さらなる攻撃手口を探るための詳細な偵察を行ったりすることが可能です。悪用の手口は極めて単純で、認証なしの単一GETリクエストを送るだけで済みます。
Wordfenceによると、攻撃者は一切の認証なしにシステム情報のJSONダンプをそのまま受け取ることができます。この低い悪用ハードルが、Wordfenceが観測した大規模な攻撃件数の背景にあると言えます。
攻撃は2026年6月初旬から急増し、6月7日から11日にかけて大量の攻撃が継続しました。数百万件のブロックを記録した主要な攻撃元IPアドレスは以下のとおりです。
ベンダーは2026年3月17日に完全に修正されたGravity SMTP 2.1.5をリリースし、Wordfenceは同年3月30日に脆弱性を公式に開示しました。
Wordfence Premium・Care・Responseユーザーは2026年5月5日にファイアウォール保護が適用され、無料版ユーザーへの保護は2026年6月4日に提供されました。脆弱なバージョンを使用している管理者は、直ちにGravity SMTPをバージョン2.1.5以降に更新してください。
この脆弱性はサイトのコンテンツを書き換えるのではなく、受動的なGETリクエストでデータを取得する仕組みであるため、悪用されても明確な痕跡が残らない場合があります。不審な動作が確認されていない場合でも、認証情報のローテーションは必須の対応措置です。
翻訳元: https://cyberpress.org/exploit-wordpress-smtp-plugin/
