漏洞概述 漏洞名称:CVE-2026-4020 漏洞描述:Gravity SMTP 插件 for WordPress 存在一个 REST 端点 ,其权限检查仅返回 。任何未认证的访问者都可以获取包含插件的 SMTP 凭证、SendGrid 和 Mailgun API 密钥以及 DKIM 令牌的 365 KB 系统报告。 攻击者行为:攻击者使用相同的 HTTP 客户端指纹(JA4H)进行攻击,伪装成多个不同的客户端。 影响范围 受影响插件:Gravity SMTP 插件 for WordPress 攻击时间:2026年5月27日至6月1日 攻击规模: - 566个不同的IP地址进行攻击 - 其中561个IP地址使用相同的JA4H指纹 - 攻击者使用了3,299种不同的用户代理字符串 - 攻击者从Google Cloud租用实例,分布在92个不同的网络中 修复方案 临时措施: - 不服务敏感文件(如 、 、 端点、profiler 和数据库转储) - 旋转任何可能泄露的密钥 长期修复: - 更新 Gravity SMTP 插件至2.1.5版本,关闭暴露的端点 关键代码块 其他信息 攻击者收集的数据: - 环境变量( 及其变体) - Git 配置文件( ) - 凭证和云密钥文件( 、 等) - 基础设施状态和配置( 、 等) - 框架泄漏(Spring Boot、Symfony 等) - Shell 和数据库遗留文件( 、 等) 攻击者基础设施: - 87%的流量来自Google Cloud - 攻击者租用实例,分布在多个地区(美国、德国、加拿大、比利时、印度、荷兰、英国、澳大利亚、香港、巴西) 攻击者行为模式: - 攻击者使用相同的JA4H指纹,但伪装成不同的客户端 - 攻击者尝试访问多个端口和服务(Docker、Kubernetes、MongoDB、Postgres、Elasticsearch、Kibana、CouchDB、RabbitMQ、Neo4j、API) 总结 CVE-2026-4020 是一个严重的漏洞,攻击者利用 Gravity SMTP 插件的权限检查缺陷,获取敏感信息。攻击者使用相同的JA4H指纹,但伪装成不同的客户端,从Google Cloud租用实例进行攻击。修复方案包括不服务敏感文件、旋转密钥以及更新插件至2.1.5版本。