افشای کلیدهای API از طریق افزونه Gravity SMTP وردپرس؛ بیش از ۱۰۰ هزار وبسایت در معرض خطر
اخبار داغ فناوری اطلاعات و امنیت شبکهمحققان امنیتی نسبت به سوءاستفاده گسترده مهاجمان از یک آسیبپذیری امنیتی در افزونه Gravity SMTP وردپرس هشدار دادهاند؛ افزونهای که روی بیش از ۱۰۰ هزار وبسایت نصب شده است. این نقص امنیتی به مهاجمان اجازه میدهد بدون نیاز به احراز هویت، به اطلاعات حساسی از جمله کلیدهای API، توکنهای OAuth و جزئیات پیکربندی سرور دسترسی پیدا کنند. گزارشها نشان میدهد میلیونها تلاش برای بهرهبرداری از این آسیبپذیری تاکنون ثبت شده است.
آسیبپذیری از کجا ناشی میشود؟
این ضعف امنیتی با شناسه CVE-2026-4020 ردیابی میشود و تمامی نسخههای افزونه Gravity SMTP تا نسخه 2.1.4 را تحت تأثیر قرار میدهد.
بررسیها نشان میدهد یک Endpoint در رابط REST API افزونه به اشتباه بدون هیچگونه کنترل دسترسی پیادهسازی شده است. در نتیجه، هر فردی میتواند تنها با ارسال یک درخواست HTTP به اطلاعات حساس ذخیرهشده در افزونه دسترسی پیدا کند.
چه اطلاعاتی افشا میشوند؟
خطر اصلی این آسیبپذیری، افشای مستقیم اعتبارنامههای سرویسهای ایمیل متصل به وبسایت است.
اطلاعاتی که ممکن است در اختیار مهاجمان قرار گیرد عبارتاند از:
- API Key سرویسهای ایمیل
- OAuth Token ها
- Secret Key ها
- اطلاعات اتصال به سرویسهای ارسال ایمیل
- نسخه وردپرس و PHP
- فهرست افزونههای نصبشده
- نسخه وبسرور
- اطلاعات پایگاه داده
- جزئیات زیرساخت فنی وبسایت
بر اساس گزارشها، سرویسهایی مانند:
- Amazon SES
- Google Workspace
- Mailjet
- Resend
- Zoho Mail
میتوانند تحت تأثیر این افشا قرار بگیرند.
چرا این افشا خطرناک است؟
در نگاه اول ممکن است افشای کلیدهای API صرفاً یک مشکل پیکربندی به نظر برسد، اما در عمل پیامدهای بسیار گستردهای دارد.
در صورت دستیابی مهاجم به این کلیدها، امکان:
ارسال ایمیل از طرف سازمان
مهاجم میتواند از زیرساخت ایمیل قربانی برای ارسال انبوه ایمیلهای فیشینگ، اسپم یا حملات مهندسی اجتماعی استفاده کند.
جعل هویت سازمان
از آنجا که ایمیلها از دامنه قانونی سازمان ارسال میشوند، احتمال موفقیت حملات فیشینگ بهطور قابل توجهی افزایش مییابد.
جمعآوری اطلاعات برای حملات بعدی
اطلاعات فنی افشاشده نقشه دقیقی از ساختار وبسایت، نسخه نرمافزارها و فناوریهای مورد استفاده در اختیار مهاجم قرار میدهد.
حملات زنجیرهای
در بسیاری از سازمانها، سرویسهای ایمیل به سامانههای CRM، سیستمهای مالی، ابزارهای بازاریابی و سرویسهای ابری متصل هستند و افشای اعتبارنامهها میتواند به نفوذهای گستردهتر منجر شود.
بهرهبرداری گسترده در اینترنت
طبق دادههای منتشرشده توسط شرکت امنیتی Wordfence، از زمان آغاز حملات تاکنون بیش از ۱۷ میلیون تلاش برای سوءاستفاده از این آسیبپذیری مسدود شده است.
در اوج حملات، تنها در یک روز بیش از ۴ میلیون درخواست مخرب علیه وبسایتهای آسیبپذیر ثبت شده است؛ موضوعی که نشان میدهد مهاجمان بهصورت خودکار در حال اسکن اینترنت برای یافتن سایتهای دارای Gravity SMTP هستند.
وصله امنیتی منتشر شده است
توسعهدهندگان Gravity SMTP این آسیبپذیری را در نسخه 2.1.5 برطرف کردهاند.
اما کارشناسان هشدار میدهند که صرفاً نصب نسخه جدید کافی نیست؛ زیرا اگر کلیدهای API پیش از بهروزرسانی افشا شده باشند، مهاجمان همچنان میتوانند از آنها استفاده کنند. به همین دلیل پس از بهروزرسانی باید تمامی API Key ها، Secret ها و OAuth Token های متصل به افزونه تعویض شوند.
توصیههای امنیتی
کارشناسان برای مدیران وبسایتهای وردپرسی توصیه میکنند:
- افزونه Gravity SMTP را فوراً به نسخه 2.1.5 یا جدیدتر ارتقا دهند.
- تمامی API Key ها و OAuth Token های متصل به افزونه را بازنشانی کنند.
- لاگهای وبسرور را برای درخواستهای مشکوک بررسی کنند.
- سرویسهای ایمیل متصل به سایت را از نظر فعالیتهای غیرعادی پایش کنند.
- احراز هویت چندمرحلهای را برای حسابهای مدیریتی فعال کنند.
- افزونهها و قالبهای وردپرس را بهطور مستمر بهروزرسانی کنند.
جمعبندی تحلیلی
آسیبپذیری CVE-2026-4020 نمونهای دیگر از خطرات ناشی از پیکربندی نادرست در افزونههای پرکاربرد وردپرس است. اگرچه شدت فنی این نقص در سطح متوسط ارزیابی شده، اما افشای مستقیم کلیدهای API و اعتبارنامههای سرویسهای ایمیل میتواند پیامدهای بسیار جدی برای سازمانها داشته باشد. حجم بالای حملات ثبتشده نیز نشان میدهد مهاجمان بهسرعت از چنین فرصتهایی برای سرقت اعتبارنامهها و اجرای حملات گستردهتر استفاده میکنند
برچسب ها: امنیت_اطلاعات, نشت_اطلاعات, HealthcareSecurity, DataBreach, امنیت_سایبری, FortiGate, Fortinet, Cyberattack, cybersecurity