WordPress Gravity SMTP 漏洞被大规模利用：如何检查与修复

WordPress 生态中负责邮件发送的主力插件之一 Gravity SMTP 近期曝出一个中危信息泄露漏洞，编号 CVE-2026-4020。该漏洞允许任何未经身份验证的访客，通过精心构造的 REST API 请求直接读取插件内部配置与第三方服务密钥。自今年 5 月初起，攻击者已发起超过 1700 万次利用尝试，并在 6 月初达到单日 400 万次峰值。安全研究机构已确认攻击活动持续高发，站点管理员应当立即检查插件版本并采取修复措施。

什么是 Gravity SMTP 与漏洞成因

Gravity SMTP 是一款专为 WordPress 站点提供 SMTP 邮件发送服务的插件，在全球约 10 万个网站上运行。它通过集成第三方邮件服务商（如 SendGrid、Mailgun、Amazon SES 等）来提升邮件送达率与追踪能力。然而，在 2026 年 5 月的一轮例行安全审计中，研究人员发现插件在注册 REST API 端点时，使用了一个权限回调函数 permission_callback，该函数始终返回 true，导致任何人无需登录即可访问 /wp-json/gravitysmtp/v1/tests/mock-data。当请求中附加 ?page=gravitysmtp-settings 查询参数时，插件的 register_connector_data() 方法会将内部连接器数据填充进响应体，最终返回约 365 KB 的 JSON 数据，其中包含完整的系统报告。

这意味着，攻击者只需发送一个简单的 HTTP GET 请求，就能获取到站点的 SMTP 配置、第三方 API 密钥、OAuth 令牌、软件栈版本、PHP 环境信息等敏感数据。该漏洞被评为中危（CVSS 5.3），但其实际影响远超评分所显示的严重程度，因为它直接暴露了可被后续攻击利用的凭据与系统情报。

攻击者如何利用泄露的信息

一旦攻击者通过该漏洞窃取到第三方 SMTP 服务的 API 密钥，就能以合法身份向外部邮件服务商发送邮件。这不仅可能被用于发送垃圾邮件、钓鱼邮件或恶意软件，还可能触发服务商的安全策略，导致站点的 IP 或域名被加入黑名单，进而影响正常业务通信。更严重的是，系统报告中包含的详细软件栈信息（WordPress 版本、PHP 版本、已安装的插件列表等）可以帮助攻击者快速识别已知漏洞，从而发动更有针对性的攻击，如 SQL 注入、文件上传漏洞或权限提升攻击。

根据安全研究报告，已有大量攻击者利用该漏洞收集凭据并尝试接管站点。由于攻击门槛极低（仅需构造一个 HTTP 请求），自动化扫描工具与僵尸网络已将该漏洞纳入常规攻击清单。因此，即使站点未直接遭受破坏，暴露的凭据仍可能被用于其他目的，例如撰写钓鱼邮件、窃取用户数据或进行社工攻击。

攻击活动时间线与规模

该漏洞的首次恶意利用活动出现在 2026 年 5 月初，规模相对较小。然而，在 6 月 6 日前后，攻击活动出现显著激增，单日攻击请求量超过 400 万次。自最初发现至今，安全团队已累计拦截超过 1700 万次针对 CVE-2026-4020 的攻击尝试。攻击来源 IP 地址分布广泛，涉及多个国家和地区，表明这是一次全球性的大规模攻击活动。研究人员指出，攻击者可能利用了自动化工具或僵尸网络来扩大攻击范围。

由于该漏洞的利用方式极为简单，攻击者无需复杂的技术手段即可发动攻击，因此预计未来几个月内仍会持续出现相关攻击活动。站点管理员应当意识到，即使当前未检测到异常，也不能排除凭据已被泄露的可能性。主动修复与凭据轮换是降低风险的关键措施。

官方修复与版本要求

Gravity SMTP 的开发团队已在 2026 年 5 月下旬发布了修复版本 v2.1.5。该版本修复了 REST API 端点的权限回调问题，并限制了系统报告的数据输出范围。站点管理员应立即更新到 v2.1.5 或更高版本，以阻断攻击者的进一步利用。对于无法立即更新的站点，建议临时禁用 Gravity SMTP 插件，或通过 Web 应用防火墙（WAF）规则阻止针对 /wp-json/gravitysmtp/v1/tests/mock-data 端点的异常访问。

需要注意的是，部分站点可能因自动更新功能未启用而仍在运行旧版本。管理员应主动检查插件列表中的 Gravity SMTP 版本号，并确认更新已成功应用。此外，由于该漏洞可能导致凭据泄露，即使已更新插件，仍需对第三方邮件服务的 API 密钥、OAuth 令牌等进行全面轮换，以避免潜在的后续攻击。

如何检查站点是否已被入侵

尽管漏洞本身允许攻击者读取敏感信息，但并不意味着站点已被直接入侵。然而，如果管理员发现异常的邮件发送记录、未知的第三方服务连接或异常的网络流量，可能表明攻击者已开始利用窃取的凭据发送邮件或进行其他恶意活动。以下是检查步骤：

1. 邮件服务商日志：登录第三方邮件服务商（如 SendGrid、Mailgun 等）的控制台，查看近期是否有异常的邮件发送记录，特别是发件人地址与站点域名不符的情况。
2. WordPress 管理后台：检查“设置 > Gravity SMTP”页面，确认 SMTP 配置是否被非授权修改，特别是 SMTP 主机、端口、用户名与密码字段。
3. 系统报告：运行 Gravity SMTP 的系统报告功能，确认其中是否包含未知的 API 密钥或 OAuth 令牌。如果发现陌生的第三方服务连接，应立即撤销其权限。
4. 文件完整性：使用安全插件（如 Wordfence、Sucuri）检查 WordPress 核心文件、主题与插件的完整性，确认是否有可疑的代码注入或后门文件。
5. 网络流量监控：检查服务器的网络流量日志，特别是针对 /wp-json/gravitysmtp/v1/tests/mock-data 端点的异常访问记录。如果发现大量来自同一 IP 的请求，可能表明该站点已被扫描或攻击。

如果发现任何异常，应立即隔离受影响的服务器，并启动事件响应流程。必要时，可联系专业的安全团队进行深度分析。

修复后的进一步安全措施

仅更新插件并轮换凭据并不足以确保长期安全。站点管理员应当采取以下额外措施，降低类似风险再次发生的可能性：

1. 启用自动更新：确保 WordPress 核心、主题与插件的自动更新功能已启用，特别是对于安全相关的补丁。Gravity SMTP 的 v2.1.5 及以上版本包含关键修复，自动更新可避免因人为疏忽而遗漏补丁。
2. 限制 REST API 访问：通过安全插件或 .htaccess 文件限制对 /wp-json/ 目录的访问，仅允许必要的端点对外开放。例如，可以配置 WAF 规则阻止对 /wp-json/gravitysmtp/v1/tests/mock-data 的访问。
3. 定期审计第三方服务：每季度审查一次 WordPress 站点连接的第三方服务（如 SMTP、支付网关、社交媒体等），撤销不再使用的 API 密钥与 OAuth 令牌。同时，为仍在使用的服务启用双因素认证（2FA）。
4. 加固服务器环境：更新 PHP 版本至最新稳定版，禁用不必要的 PHP 函数（如 exec、shell_exec），并配置正确的文件权限（如将 wp-config.php 设置为 600 权限）。
5. 部署 Web 应用防火墙（WAF）：WAF 可以有效阻断针对已知漏洞的攻击尝试，例如针对 Gravity SMTP 的 REST API 端点扫描。主流的 WAF 解决方案包括 Cloudflare、Akamai、ModSecurity 等。
6. 监控与告警：部署安全监控工具（如 Wordfence、Sucuri、OSSEC）以实时监控异常活动，并设置告警规则。例如，当检测到对 /wp-json/ 目录的异常访问时，立即发送邮件通知管理员。

对 WordPress 生态的启示

Gravity SMTP 漏洞再次提醒 WordPress 生态系统面临的持续威胁。作为全球最受欢迎的内容管理系统，WordPress 的插件生态丰富但鱼龙混杂，安全漏洞频发。根据过往数据，WordPress 核心文件的安全性相对较高，但第三方插件与主题的漏洞占比超过 90%。因此，站点管理员应当将安全重点放在插件与主题的管理上，而不仅仅是 WordPress 核心的更新。

此外，该漏洞的利用方式——通过未授权的 REST API 端点窃取敏感信息——也凸显了 API 安全的重要性。随着 WordPress REST API 的普及，开发者与站点管理员需要更加重视 API 端点的权限控制、输入验证与数据输出限制。对于插件开发者而言，应当遵循最小权限原则，避免在 REST API 端点中返回过多的内部数据，并始终对请求者的身份进行严格验证。

总结与行动建议

Gravity SMTP 的 CVE-2026-4020 漏洞已被大规模利用，攻击者可通过简单的 HTTP 请求窃取站点的 SMTP 配置、API 密钥与系统情报。尽管官方已发布修复版本 v2.1.5，但由于攻击活动持续高发，站点管理员必须立即行动：

1. 立即检查插件版本：登录 WordPress 后台，确认 Gravity SMTP 的版本是否为 v2.1.5 或更高。如未更新，请立即升级。
2. 轮换所有凭据：更新 SMTP 服务商的 API 密钥、OAuth 令牌等敏感凭据，并撤销任何未知的第三方服务连接。
3. 全面检查站点：通过邮件服务商日志、WordPress 设置与安全插件，检查是否有异常活动或入侵迹象。
4. 加固长期安全：启用自动更新、限制 REST API 访问、部署 WAF、定期审计第三方服务，并加固服务器环境。

对于无法立即更新的站点，建议临时禁用 Gravity SMTP 或通过 WAF 阻断漏洞端点。安全是一个持续过程，而非一次性操作。通过主动的监控与定期的安全审计，可以有效降低类似风险再次发生的可能性。