Bezpečnostní chyba v oblíbeném WordPress pluginu ohrožuje e-mailové klíče firem

Pokud provozujete web na WordPressu a používáte plugin Gravity SMTP pro odesílání e-mailů, máte důvod ke zvýšené pozornosti. V červnu 2026 vypukla masivní vlna útoků zaměřených na bezpečnostní chybu v tomto pluginu, která útočníkům umožňovala bez přihlášení získat citlivé přístupové klíče vaší firmy.

Co se stalo

Plugin Gravity SMTP je nainstalován na více než 100 000 webových stránkách. V březnu 2026 byla objevena zranitelnost označená CVE-2026-4020 (CVE je standardní identifikátor bezpečnostních chyb), která dostala závažnostní skóre CVSS 5.3 ze 10. Kategorie chyby je “unauthenticated information disclosure”, česky: prozrazení citlivých informací bez nutnosti přihlášení.

Oprava vyšla 17. března 2026 ve verzi 2.1.5 a chyba byla veřejně oznámena 30. března 2026. Přesto velká část provozovatelů webů aktualizaci neprovedla, a útočníci toho od června 2026 naplno využili. Bezpečnostní firma Wordfence zaznamenala přes 17 milionů pokusů o zneužití, přičemž samotný 7. června 2026 přinesl více než 4 miliony pokusů za jediný den.

Proč je to vážné

Chyba spočívala v nezabezpečeném API endpointu (programovém rozhraní dostupném přes internet) na adrese /wp-json/gravitysmtp/v1/tests/mock-data. Ve verzích pluginu do 2.1.4 včetně k němu mohl přistoupit kdokoliv bez hesla.

Přes tento endpoint útočníci získávali:

• API klíče a OAuth tokeny (přístupové kódy) pro napojené e-mailové služby: Amazon SES, Google, Mailjet, Resend a Zoho
• přihlašovací údaje k SMTP serverům (servery, přes které web odesílá e-maily)
• PHP a databázové konfigurační parametry prostředí

Kompromitované klíče Amazon SES nebo Google útočníkům umožňují odesílat phishingové kampaně (podvodné e-maily vydávající se za vás) pod důvěryhodnou identitou vaší firmy, přičítat náklady za odesílání na váš účet nebo získat přístup k dalším propojeným cloudovým službám.

Vedle CVE-2026-4020 existuje u pluginu druhá zranitelnost CVE-2026-4162, tentokrát jde o obejití oprávnění (authorization bypass). Organizace provozující WordPress weby v rámci klientských portálů, intranetů nebo e-commerce platforem by měly obě zranitelnosti zahrnout do pravidelné správy aktualizací.

Co máte udělat

• Okamžitě aktualizujte plugin Gravity SMTP na verzi 2.1.5 nebo novější na všech spravovaných instalacích WordPress.
• Po aktualizaci vyměňte veškeré API klíče, OAuth tokeny a SMTP přihlašovací údaje konfigurované v pluginu; považujte je za kompromitované.
• Prostřednictvím přístupových logů zkontrolujte historii požadavků na endpoint /wp-json/gravitysmtp/v1/tests/mock-data za posledních 90 dní.
• Prověřte aktivity na napojených e-mailových službách (Amazon SES, Google a další) na neočekávané odesílání nebo konfigurační změny.
• Zvažte nasazení WAF pravidel (firewall na úrovni webové aplikace) blokujících neautentizovaný přístup k /wp-json/ endpointům mimo výslovně vyžadované veřejné API.

Co z toho plyne

Chyba existovala od března, oprava byla dostupná okamžitě, ale masivní zneužívání přišlo až o tři měsíce později, protože weby nebyly aktualizovány včas. Rychlost záplatování je v praxi rozhodujícím faktorem. Pokud si nejste jisti stavem svých WordPress instalací nebo potřebujete pomoc s prověřením úniku dat, ozvěte se na office@ciad.cz.

Zdroje:

• BleepingComputer
• The Hacker News
• CrowdSec