WordPress'te Kritik Güvenlik Açığı: Gravity SMTP Eklentisi Tüm API Anahtarlarını Dışarı Sızdırabiliyor
By Mag-Info Tech editorial · 2026-06-21
WordPress ekosistemi içinde yer alan ve özellikle e-posta gönderimlerinde SMTP hizmetleriyle entegrasyon sağlayan Gravity SMTP eklentisi, yakın zamanda yayımlanan bir güvenlik düzeltmesiyle gündeme geldi. Ancak bu düzeltme henüz tüm kullanıcılara ulaşmadan önce, saldırganlar tarafından istismar edilmeye başlanan CVE-2026-4020 adlı bir bilgi ifşası açığı keşfedildi. Bu açıktan faydalanan saldırganlar, herhangi bir kimlik doğrulaması gerektirmeden, web sitesinin REST API uç noktalarından birine özel parametreler ekleyerek sistemdeki hassas verileri toplu halde çekebiliyor. Söz konusu veri paketi sadece eklentiye ait yapılandırma bilgilerini değil, aynı zamanda üçüncü taraf API anahtarlarını, OAuth token’larını ve hatta tüm sistem raporunu da içeriyor. Bu durum, saldırganlara yalnızca e-posta gönderim yetkisi kazandırmakla kalmıyor, aynı zamanda siteye yönelik ileriki saldırılar için gerekli olan yazılım yığınının tamamına dair detaylı bir harita sunuyor. Bu nedenle, bu açıktan kaynaklanan veri sızıntısının etkileri, hangi verilerin ifşa edildiğine bağlı olarak değişkenlik gösteriyor.
Saldırganlar, bu açıktan faydalanmak için öncelikle WordPress REST API’sine yönelik bir HTTP GET isteği gönderiyor. Bu istek sırasında, eklentinin sistem raporunu döndüren özel bir uç noktası olan /wp-json/gravitysmtp/v1/tests/mock-data adresine ?page=gravitysmtp-settings parametresi ekleniyor. Bu parametre, eklentinin içsel bağlantı verilerini doldurarak, yaklaşık 365 KB boyutunda bir JSON yanıtı üretiyor. Bu yanıt, sistemdeki tüm e-posta entegrasyonlarına ait API anahtarlarını, OAuth token’larını ve diğer hassas bilgileri içerdiği için, saldırganlar tarafından kolayca toplanabiliyor. Bu verilerin ele geçirilmesi durumunda, saldırganlar sadece site adına sahte e-postalar göndermekle kalmıyor, aynı zamanda siteye yönelik daha ileri saldırılar için gerekli olan altyapı bilgilerini de elde etmiş oluyor. Bu durum, hem site sahipleri hem de kullanıcılar için ciddi bir güvenlik riski oluşturuyor.
CVE-2026-4020 Açığı Nedir ve Nasıl Çalışıyor?
CVE-2026-4020 olarak adlandırılan bu güvenlik açığı, WordPress REST API’sinde yer alan ve yetkilendirme kontrolü olmayan bir uç noktaya dayanıyor. Bu uç nokta, /wp-json/gravitysmtp/v1/tests/mock-data, herhangi bir kimlik doğrulaması gerektirmeden erişilebilen bir yapıya sahip. Saldırganlar, bu uç noktaya ?page=gravitysmtp-settings parametresini ekleyerek, eklentinin sistem raporunu alabiliyor. Sistem raporu, sadece eklentinin yapılandırma bilgilerini değil, aynı zamanda üçüncü taraf e-posta hizmetlerine ait API anahtarlarını, OAuth token’larını ve diğer hassas verileri de içeriyor. Bu verilerin ifşa olması, saldırganlara site adına e-posta gönderme yetkisi kazandırmanın yanı sıra, siteye yönelik daha ileri saldırılar için gerekli olan altyapı bilgilerini de sunuyor.
Bu açıktan kaynaklanan veri sızıntısının en tehlikeli yanı, saldırganların bu verileri kullanarak siteye yönelik kimlik avı saldırıları düzenleyebilmesi. Örneğin, saldırganlar, ele geçirdikleri API anahtarlarını kullanarak site adına sahte e-postalar gönderebilir ve kullanıcıları kandırarak hassas bilgilerini paylaşmalarını sağlayabilir. Ayrıca, elde edilen sistem raporu sayesinde, saldırganlar siteye yönelik daha ileri saldırılar için gerekli olan yazılım yığınının tamamına dair detaylı bir harita elde edebilir. Bu durum, hem site sahipleri hem de kullanıcıları ciddi bir güvenlik riski altında bırakıyor.
Saldırılar Ne Zaman Başladı ve Ne Kadar Yaygın?
Bu açıktan faydalanan saldırılar, Mayıs 2026’nın başından itibaren tespit edilmeye başlandı. İlk etapta düşük yoğunlukta gerçekleşen saldırılar, Haziran 2026’nın başında ani bir artış göstererek günde 4 milyondan fazla istekle zirve yaptı. Bu saldırıların kaynağı olan IP adresleri incelendiğinde, farklı coğrafyalardan gelen ve genellikle kötü amaçlı bot ağlarına ait olduğu düşünülen adresler tespit edildi. Wordfence tarafından yapılan açıklamaya göre, bugüne kadar bu açıktan faydalanan saldırılara karşı 17 milyondan fazla girişim engellendi. Bu veriler, saldırıların ne kadar yaygın ve hızlı bir şekilde yayıldığını gösteriyor.
Saldırıların bu kadar hızlı bir şekilde yayılmasının en önemli nedenlerinden biri, Gravity SMTP eklentisinin WordPress ekosistemi içinde oldukça popüler olması. Yaklaşık 100 binden fazla site tarafından kullanılan bu eklenti, özellikle e-posta gönderimlerinde SMTP hizmetleriyle entegrasyon sağladığı için yaygın olarak tercih ediliyor. Bu durum, saldırganların bu açıktan faydalanarak geniş bir saldırı yüzeyine sahip olmalarına olanak tanıyor. Ayrıca, bu açıktan faydalanan saldırıların otomatik olarak gerçekleştirilmesi, saldırganların çok sayıda siteyi aynı anda hedef almalarını sağlıyor.
Kimler Risk Altında ve Hangi Veriler Tehlikede?
Gravity SMTP eklentisinin 2.1.5 sürümünden önceki tüm versiyonları bu açıktan etkileniyor. Bu nedenle, eklentiyi kullanmakta olan ve üçüncü taraf e-posta entegrasyonlarına sahip olan tüm site sahipleri risk altında. Özellikle, e-posta gönderimlerinde SMTP hizmetleriyle entegrasyon sağlayan siteler, bu açıktan kaynaklanan veri sızıntısına karşı daha savunmasız durumda. Saldırganlar, bu sitelerin API anahtarlarını ve OAuth token’larını ele geçirerek, site adına sahte e-postalar gönderebilir ve kullanıcıları kandırarak hassas bilgilerini paylaşmalarını sağlayabilir.
Tehlike altında olan veriler arasında, üçüncü taraf e-posta hizmetlerine ait API anahtarları, OAuth token’ları, SMTP sunucu bilgileri ve sistem raporu yer alıyor. Sistem raporu, siteye ait yazılım yığınının tamamına dair detaylı bilgiler içerdiği için, saldırganlar bu bilgileri kullanarak siteye yönelik daha ileri saldırılar için gerekli olan altyapı bilgilerini elde edebilir. Bu durum, hem site sahipleri hem de kullanıcılar için ciddi bir güvenlik riski oluşturuyor. Ayrıca, saldırganlar tarafından ele geçirilen API anahtarları ve OAuth token’ları, diğer saldırılarda da kullanılabilir. Örneğin, saldırganlar bu verileri kullanarak siteye yönelik kimlik avı saldırıları düzenleyebilir veya siteye zararlı yazılımlar enjekte edebilir.
Saldırganlar Bu Verileri Nasıl Kullanıyor?
Real results from MEFAI's AI. Get $50 off the Pro plan.
Sponsored · Past performance is not indicative of future results. Not financial advice.
Saldırganlar, ele geçirdikleri API anahtarları ve OAuth token’ları kullanarak site adına sahte e-postalar gönderebilir. Bu e-postalar, kullanıcıları kandırarak hassas bilgilerini paylaşmalarını sağlayabilir. Örneğin, saldırganlar, kullanıcıları sahte bir giriş sayfasına yönlendirerek kullanıcı adı ve şifrelerini ele geçirebilir. Ayrıca, saldırganlar, elde ettikleri sistem raporunu kullanarak siteye yönelik daha ileri saldırılar için gerekli olan altyapı bilgilerini elde edebilir. Bu bilgiler, saldırganların siteye zararlı yazılımlar enjekte etmelerine veya siteye yönelik diğer saldırıları gerçekleştirmelerine olanak tanır.
Bu açıktan kaynaklanan veri sızıntısının en tehlikeli yanı, saldırganların bu verileri otomatik olarak toplayabilmesi ve ardından geniş bir saldırı yüzeyine sahip olmaları. Örneğin, saldırganlar, ele geçirdikleri API anahtarlarını kullanarak binlerce siteye aynı anda sahte e-postalar gönderebilir ve kullanıcıları kandırarak hassas bilgilerini paylaşmalarını sağlayabilir. Bu durum, hem site sahipleri hem de kullanıcıları ciddi bir güvenlik riski altında bırakıyor.
Nasıl Korunabilirsiniz? Acil Eylem Rehberi
Öncelikle, Gravity SMTP eklentisini kullanmakta olan tüm site sahiplerinin, eklentinin en son sürümü olan 2.1.5’e güncellemeleri gerekiyor. Bu güncelleme, açıktan kaynaklanan veri sızıntısını ortadan kaldırıyor ve eklentinin güvenli bir şekilde kullanılmasını sağlıyor. Güncelleme işlemi sırasında, eklentinin yapılandırma ayarlarını ve üçüncü taraf e-posta entegrasyonlarını yeniden kontrol etmek önem taşıyor. Ayrıca, güncelleme sonrasında, eklentinin sistem raporunu yeniden oluşturmak ve bu raporu incelemek de öneriliyor.
Güncelleme işlemi tamamlandıktan sonra, üçüncü taraf e-posta hizmetlerine ait API anahtarlarını ve OAuth token’larını yeniden oluşturmak ve eski anahtarları hemen iptal etmek gerekiyor. Bu işlem, saldırganların eski anahtarları kullanarak siteye yönelik saldırılar düzenlemesini engelliyor. Ayrıca, siteye ait tüm kullanıcıların şifrelerini değiştirmek ve çift faktörlü kimlik doğrulamasını etkinleştirmek de öneriliyor. Bu adımlar, siteye yönelik saldırıların önlenmesine yardımcı oluyor.
Son olarak, site sahiplerinin, saldırı girişimlerini tespit etmek ve engellemek için güvenlik duvarı (WAF) ve saldırı tespit sistemleri (IDS) kullanmaları öneriliyor. Bu sistemler, saldırganların siteye yönelik saldırı girişimlerini tespit ederek otomatik olarak engelleyebilir. Ayrıca, site sahiplerinin, düzenli olarak sistem raporlarını incelemeleri ve herhangi bir şüpheli aktivite tespit etmeleri durumunda acil müdahalede bulunmaları gerekiyor. Bu adımlar, siteye yönelik saldırıların önlenmesine ve veri sızıntılarının engellenmesine yardımcı oluyor.
WordPress Ekosistemindeki Benzer Açıkların Önlenmesi İçin Öneriler
WordPress ekosisteminde yer alan eklentilerin güvenlik açıklarına karşı korunmak için site sahiplerinin düzenli olarak eklentileri güncellemeleri gerekiyor. Eklentilerin geliştiricileri tarafından yayımlanan güvenlik düzeltmelerini takip etmek ve mümkün olan en kısa sürede uygulamak, saldırganların bu açıklardan faydalanmasını engelliyor. Ayrıca, site sahiplerinin, eklentilerin güvenilir kaynaklardan indirildiğinden emin olmaları ve üçüncü taraf eklentileri kullanırken dikkatli olmaları gerekiyor.
WordPress ekosisteminde yer alan eklentilerin güvenlik açıklarına karşı korunmak için site sahiplerinin, eklentilerin yapılandırma ayarlarını ve üçüncü taraf entegrasyonlarını düzenli olarak gözden geçirmeleri gerekiyor. Ayrıca, site sahiplerinin, güvenlik duvarı (WAF) ve saldırı tespit sistemleri (IDS) kullanarak siteye yönelik saldırı girişimlerini tespit etmeleri ve engellemeleri öneriliyor. Bu adımlar, WordPress ekosistemindeki güvenlik açıklarının önlenmesine yardımcı oluyor.
Sonuç: Veri Sızıntısına Karşı Acil Adımlar ve İzlenecek Yol
Gravity SMTP eklentisinde bulunan CVE-2026-4020 adlı güvenlik açığı, WordPress ekosisteminde yer alan site sahipleri için ciddi bir tehdit oluşturuyor. Bu açıktan faydalanan saldırganlar, siteye ait API anahtarlarını, OAuth token’larını ve diğer hassas verileri ele geçirerek, siteye yönelik saldırılar düzenleyebiliyor. Bu durum, hem site sahipleri hem de kullanıcılar için ciddi bir güvenlik riski oluşturuyor. Bu nedenle, site sahiplerinin acil olarak eklentiyi güncellemeleri, üçüncü taraf e-posta entegrasyonlarına ait API anahtarlarını yeniden oluşturmaları ve eski anahtarları iptal etmeleri gerekiyor.
WordPress ekosisteminde yer alan eklentilerin güvenlik açıklarına karşı korunmak için site sahiplerinin, düzenli olarak eklentileri güncellemeleri, yapılandırma ayarlarını gözden geçirmeleri ve güvenlik duvarı (WAF) kullanmaları gerekiyor. Bu adımlar, siteye yönelik saldırıların önlenmesine ve veri sızıntılarının engellenmesine yardımcı oluyor. Ayrıca, site sahipleri, saldırı girişimlerini tespit etmek ve engellemek için saldırı tespit sistemleri (IDS) kullanmalı ve düzenli olarak sistem raporlarını incelemelidir. Bu önlemler, WordPress ekosistemindeki güvenlik açıklarının önlenmesine ve kullanıcıların verilerinin korunmasına yardımcı olacaktır.
More in Cybersecurity & Privacy
Taiko Köprüsü Saldırısı: Kullanıcılar Fonlarını Acilen Çekmeli
Taiko’nun Ethereum köprüsünde tespit edilen doğrulama mekanizması açığı saldırganlara 1.7 milyon dolarlık haksız kazanç sağladı. Kullanıcılar fonlarını acilen çekmeli ve Taiko’nun açıklamalarını takip
Secret Network’te Kritik Açık: $4.7 Milyonluk “Sonsuz Basım” Saldırısı ve Kriptoda Yeni Güvenlik Riskleri
Secret Network’in gizlilik odaklı köprüsünde keşfedilen “sonsuz basım” açığıyla gerçekleştirilen $4.7 milyonluk saldırı, kullanıcıları ve geliştiricileri derinden etkiledi. Blokzincirler arası köprüle
AryStinger Botnet: Küresel Yönlendirici Tehdidi ve Korunma Yolları
AryStinger botnet 4 binden fazla eski D-Link yönlendiricisini ele geçirerek küresel proxy ağı oluşturdu; Güney Kore, Çin ve İsveç’te yoğunlaşıyor.