Faille SMTP Gravity expose des clés API WordPress aux pirates
Des pirates exploitent activement une faille de sécurité dans Gravity SMTP, un plugin WordPress très répandu comptant environ 100 000 installations, pour voler des identifiants sensibles. Cette vulnérabilité, suivie sous la référence CVE-2026-4020 et classée de sévérité moyenne (score CVSS de 5,3), permet à des attaquants non authentifiés d’accéder aux données de configuration, clés API, secrets et jetons OAuth sans se connecter.
Fonctionnement de l’attaque
La faille provient d’un problème de fuite d’informations dans Gravity SMTP, offrant aux acteurs malveillants la possibilité de récupérer des détails confidentiels depuis des sites WordPress affectés. Comme le plugin gère la distribution des emails et l’authentification pour de nombreux utilisateurs, des clés API compromises pourraient donner aux pirates le contrôle des services de messagerie ou des comptes tiers liés.
Actions immédiates pour les utilisateurs
Les administrateurs de sites utilisant Gravity SMTP doivent mettre à jour le plugin vers la dernière version dès que possible. Les utilisateurs de WordPress peuvent également vérifier les accès non autorisés ou les activités inhabituelles dans leurs configurations email et intégrations API. Les équipes de sécurité recommandent de faire tourner les clés exposées et de surveiller les signes d’utilisation abusive.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.