Vulnérabilité critique dans Gravity SMTP : des pirates exploitent une faille d’information non authentifiée

Une faille de sécurité dans un plugin WordPress populaire est actuellement massivement exploitée par des attaquants. Le plugin Gravity SMTP, installé sur plus de 100 000 sites web, contient une vulnérabilité d’information non authentifiée qui permet à des pirates d’accéder à des données sensibles sans avoir besoin de se connecter. Identifiée sous la référence CVE-2026-4020 et classée de sévérité moyenne, cette faille offre pourtant un accès direct à des informations critiques, ce qui en fait un vecteur d’attaque redoutable. Selon les experts de Wordfence, qui surveillent en temps réel des millions de sites protégés, plus de 17 millions d’attaques ont déjà été bloquées depuis la découverte de l’exploitation active. Les administrateurs de sites doivent agir rapidement : une mise à jour vers la version 2.1.5, publiée le 17 mars 2025, corrige le problème. Sans cette mise à jour, les sites restent exposés à des risques majeurs, notamment le vol de données d’authentification et la préparation d’attaques ultérieures.

Une faille d’information non authentifiée : comment ça marche ?

La vulnérabilité réside dans un point d’accès REST API mal sécurisé dans Gravity SMTP. Ce point d’accès, situé dans l’API du plugin, est conçu pour retourner un rapport système complet au format JSON lorsqu’il est sollicité. Normalement, ce type d’endpoint devrait vérifier l’identité de l’utilisateur avant de fournir des informations sensibles. Or, dans ce cas précis, la fonction de contrôle d’accès permission_callback retourne systématiquement true, quel que soit l’appelant. Résultat : n’importe qui peut interroger ce service REST sans authentification préalable et récupérer un rapport détaillé sur la configuration du site.

Ce rapport système contient des informations précieuses pour un attaquant. Il inclut notamment les identifiants de connexion utilisés par le plugin pour interagir avec des services d’email tiers (comme SendGrid, Mailgun ou Amazon SES). Ces identifiants, une fois compromis, permettent aux pirates de se faire passer pour le propriétaire légitime du site et d’envoyer des emails en son nom. Mais ce n’est pas tout : le rapport révèle aussi la version exacte de WordPress, des thèmes, des plugins installés et même des configurations spécifiques. Ces données facilitent grandement la planification d’attaques ciblées, car elles permettent aux cybercriminels d’identifier les failles connues des versions logicielles utilisées. En d’autres termes, une faille classée comme “moyenne” peut servir de tremplin pour des attaques bien plus graves.

Une exploitation massive depuis début juin

L’exploitation de cette vulnérabilité a connu une augmentation spectaculaire début juin 2025. Selon les données collectées par Wordfence, plus de 4 millions de tentatives d’exploitation ont été bloquées rien que le 7 juin, avec des pics similaires observés les jours suivants. Ces attaques proviennent de plusieurs adresses IP identifiées comme sources principales. Les administrateurs de sites WordPress peuvent donc renforcer leur protection en ajoutant ces adresses à leur liste de blocage au niveau du pare-feu ou du serveur web.

Un autre indicateur clé de compromission a été identifié : la présence de requêtes HTTP vers l’URL /wp-json/gravitysmtp/v1/tests/mock-data, souvent accompagnée du paramètre ?page=gravitysmtp-settings. Toute entrée de ce type dans les logs du serveur web doit être considérée comme un signal d’alerte. Si ces requêtes sont détectées, il est impératif de vérifier immédiatement si le site a été compromis et de procéder à la mise à jour du plugin.

Cette vague d’attaques intervient alors qu’une autre faille critique, cette fois dans le plugin Avada Builder (utilisé sur un million de sites), a été signalée simultanément. Bien que distincte, cette coïncidence illustre une tendance préoccupante : les cybercriminels ciblent massivement les plugins WordPress, souvent négligés dans les stratégies de sécurité, pour infiltrer des milliers de sites en peu de temps.

Pourquoi une faille “moyenne” devient-elle un risque majeur ?

Le classement de sévérité “moyen” attribué à CVE-2026-4020 peut prêter à confusion. En réalité, la criticité d’une faille ne dépend pas uniquement de son score CVSS, mais aussi de son potentiel d’exploitation et de l’impact réel sur les systèmes. Dans ce cas, l’absence d’authentification requise pour accéder à des données sensibles transforme une faille moyenne en un outil puissant entre les mains des attaquants.

Une fois les identifiants de l’API email compromis, un pirate peut envoyer des emails frauduleux en se faisant passer pour le site légitime. Cela ouvre la porte à des campagnes de phishing ciblées, à la diffusion de malwares ou à l’usurpation d’identité pour tromper les utilisateurs ou les partenaires commerciaux. De plus, la connaissance détaillée de la stack technique du site permet aux attaquants de cibler des failles spécifiques dans d’autres plugins ou thèmes, ou même d’exploiter des vulnérabilités zero-day si elles sont présentes.

Cette situation rappelle l’importance de ne pas se fier uniquement aux scores de sévérité. Une faille classée comme “moyenne” peut avoir des conséquences graves si elle est facilement exploitable et si elle donne accès à des informations critiques. Les administrateurs doivent donc traiter cette vulnérabilité avec la même urgence que s’il s’agissait d’une faille critique.

Quelles données sont exposées et comment les attaquants les utilisent-ils ?

Le rapport système exposé par la faille contient une multitude d’informations utiles pour un attaquant. Parmi les éléments les plus sensibles, on trouve :

• Les identifiants API des services d’email tiers utilisés par le plugin Gravity SMTP. Ces clés permettent d’envoyer des emails en masse, de contourner les filtres anti-spam et de mener des attaques par hameçonnage sophistiquées.
• La liste complète des plugins installés, avec leurs versions exactes. Cela permet aux pirates d’identifier rapidement les failles connues et de cibler les composants les plus vulnérables.
• Les configurations du serveur web et de l’hébergement, y compris les chemins d’accès aux fichiers et les paramètres PHP. Ces informations peuvent être utilisées pour préparer des attaques plus avancées, comme des inclusions de fichiers distants ou des injections SQL.
• Les adresses email associées au site, qui peuvent être utilisées pour des attaques de spear-phishing ou pour le vol d’identité.

Une fois ces données en leur possession, les attaquants peuvent utiliser les identifiants API pour envoyer des emails frauduleux, usurper l’identité du site et tromper ses utilisateurs ou ses partenaires. Par exemple, un email envoyé depuis un serveur légitime mais contrôlé par un pirate peut sembler authentique, augmentant ainsi le taux de réussite des attaques. De plus, la connaissance de la stack technique permet de préparer des attaques ciblées contre d’autres vulnérabilités connues, réduisant considérablement l’effort nécessaire pour compromettre le site.

Comment vérifier si votre site est compromis ?

La première étape pour un administrateur est de vérifier si son site a été la cible de cette faille. Plusieurs signes doivent alerter :

• Présence de requêtes vers /wp-json/gravitysmtp/v1/tests/mock-data dans les logs du serveur web, surtout avec le paramètre ?page=gravitysmtp-settings.
• Activité inhabituelle dans les logs, comme des tentatives d’accès répétées à des endpoints REST non documentés.
• Envoi d’emails non autorisés depuis le serveur, détectable via les logs SMTP ou les rapports de spam.
• Modifications suspectes dans les fichiers du site, notamment dans les répertoires /wp-content/ ou /wp-includes/.

Si l’un de ces signes est présent, il est recommandé de procéder à une analyse approfondie du site à l’aide d’outils spécialisés comme Wordfence, Sucuri ou MalCare. Ces solutions permettent de détecter les modifications malveillantes, les backdoors ou les fichiers infectés. En cas de compromission avérée, il est crucial de restaurer le site à partir d’une sauvegarde propre et de forcer le changement de tous les mots de passe, y compris ceux des services tiers.

Mise à jour et bonnes pratiques pour se protéger

La solution la plus simple et la plus efficace reste la mise à jour du plugin Gravity SMTP vers la version 2.1.5 ou ultérieure. Cette version corrige la faille en ajoutant une vérification d’authentification appropriée à l’endpoint REST vulnérable. Les administrateurs doivent donc vérifier immédiatement si leur installation est à jour et appliquer la mise à jour si nécessaire.

Au-delà de la correction immédiate, plusieurs bonnes pratiques permettent de réduire les risques liés aux plugins WordPress :

• Maintenir tous les plugins à jour : Les vulnérabilités sont souvent corrigées rapidement après leur découverte. Ignorer les mises à jour expose le site à des risques inutiles.
• Limiter l’accès aux endpoints REST : Utiliser des plugins de sécurité comme Wordfence ou iThemes Security pour bloquer l’accès non autorisé aux endpoints sensibles.
• Surveiller les logs du serveur : Configurer des alertes pour les requêtes inhabituelles, notamment celles ciblant des endpoints spécifiques comme /wp-json/gravitysmtp/.
• Renforcer les identifiants API : Changer régulièrement les clés API utilisées par les plugins, et limiter leurs permissions au strict nécessaire.
• Effectuer des sauvegardes régulières : En cas de compromission, une sauvegarde récente permet de restaurer le site rapidement et de minimiser les dommages.

Il est également recommandé de désactiver ou de supprimer les plugins inutilisés, car ils représentent une surface d’attaque supplémentaire. Enfin, l’utilisation d’un pare-feu applicatif (WAF) comme Cloudflare ou Sucuri peut aider à bloquer les tentatives d’exploitation avant qu’elles n’atteignent le site.

Contexte : WordPress, une cible privilégiée pour les cybercriminels

Cette faille dans Gravity SMTP s’inscrit dans un contexte plus large où WordPress, en tant que plateforme la plus utilisée pour la création de sites web, est devenue une cible privilégiée pour les cybercriminels. Selon des études récentes, plus de 90 % des sites WordPress utilisent des plugins, et près de la moitié d’entre eux ne sont pas à jour. Cette négligence expose des millions de sites à des risques majeurs.

Les attaquants exploitent souvent des failles connues dans des plugins populaires pour infiltrer des sites à grande échelle. Une fois compromis, ces sites peuvent servir à héberger des malwares, à rediriger les visiteurs vers des sites frauduleux ou à participer à des réseaux de bots. La récente vague d’attaques contre Gravity SMTP et Avada Builder illustre cette tendance : les pirates ciblent des plugins avec une large base d’utilisateurs, maximisant ainsi leur impact potentiel.

Pour les administrateurs de sites, cela signifie qu’il est impératif de traiter la sécurité des plugins avec la même rigueur que celle appliquée aux mises à jour du cœur de WordPress. Une approche proactive, combinant mises à jour régulières, surveillance des logs et utilisation d’outils de sécurité, est essentielle pour réduire les risques.

Que faire si votre site a été compromis ?

Si votre site a été compromis via cette faille, plusieurs étapes doivent être suivies pour limiter les dégâts et restaurer la sécurité :

1. Isoler le site : Si possible, mettre le site hors ligne temporairement pour éviter toute propagation de l’attaque ou toute fuite de données supplémentaires.
2. Analyser les logs : Identifier les adresses IP suspectes, les requêtes malveillantes et les fichiers modifiés. Les logs du serveur web et des plugins de sécurité sont des sources précieuses d’informations.
3. Supprimer les backdoors : Les attaquants laissent souvent des portes dérobées pour maintenir l’accès. Utiliser des outils comme Wordfence ou Sucuri pour scanner et nettoyer le site.
4. Restaurer depuis une sauvegarde : Si une sauvegarde propre est disponible, restaurer le site à partir de cette sauvegarde. Sinon, une réinstallation complète de WordPress et des plugins peut être nécessaire.
5. Changer tous les mots de passe : Mots de passe du site, des services tiers (comme les API email), des comptes FTP et des bases de données. Utiliser des mots de passe forts et un gestionnaire de mots de passe.
6. Notifier les utilisateurs : Si des données sensibles ont été exposées, informer les utilisateurs et leur recommander de changer leurs mots de passe.
7. Renforcer la sécurité : Appliquer les bonnes pratiques mentionnées précédemment et surveiller activement le site pour détecter toute activité suspecte.

Il est également conseillé de signaler l’incident aux autorités compétentes, comme la CNIL en France ou le CERT national, selon la réglementation en vigueur.

Conclusion : une alerte à ne pas ignorer

La faille CVE-2026-4020 dans Gravity SMTP rappelle une fois de plus que les vulnérabilités dans les plugins WordPress, même classées comme “moyennes”, peuvent avoir des conséquences graves. Son exploitation massive depuis début juin 2025 montre que les cybercriminels n’hésitent pas à cibler des failles accessibles pour infiltrer des milliers de sites en peu de temps. Pour les administrateurs, la priorité est claire : mettre à jour immédiatement le plugin, surveiller les logs et appliquer les bonnes pratiques de sécurité.

Les sites WordPress représentent une part majeure de l’écosystème web, et leur sécurité est un enjeu collectif. En traitant les mises à jour et les vulnérabilités avec sérieux, les administrateurs peuvent non seulement protéger leurs propres données, mais aussi contribuer à la sécurité globale d’Internet. Ne pas agir aujourd’hui pourrait exposer le site à des risques bien plus importants demain.