WordPress saytınızda Gravity SMTP istifadə edirsinizsə, bu xəbər sizi ciddi düşündürməlidir. Hackerlər sadəcə bir autentifikasiyasız HTTP sorğusu göndərərək API açarlarını, OAuth tokenlərini və sistem məlumatlarını ələ keçirə bilirlər.
Wordfence-in məlumatına görə, mayın əvvəlindən bəri bu boşluq üzərindən kütləvi hücumlar başlayıb və təhlükə təxminən 100 min WordPress saytını əhatə edir.
Bir sorğu ilə açılan təhlükəli qapı
Problem Gravity SMTP WordPress plaginindəki CVE-2026-4020 kodlu boşluqla bağlıdır. Wordfence bu zəifliyi CVSS şkalası üzrə 5.3 bal ilə qiymətləndirib.
Boşluq Gravity SMTP-nin 2.1.4 və daha köhnə versiyalarına təsir edir. Düzəliş 17 mart 2026-cı ildə yayımlanan 2.1.5 versiyasında təqdim edilib.
Maraqlısı budur ki, real hücumlar təxminən iki ay sonra başlayıb. Bu isə hackerlərin ya yeniləməni analiz edib problemi tapdığını, ya da boşluğu müstəqil şəkildə aşkar etdiyini göstərir.
Wordfence mayın əvvəlindən bəri Gravity SMTP boşluğunu hədəfləyən 17 milyondan çox hücum cəhdini bloklayıb.
API açarları və OAuth tokenləri necə sızır?
Boşluğun kökü /wp-json/gravitysmtp/v1/tests/mock-data ünvanında qeydiyyatdan keçmiş REST API endpoint-indədir. Buradakı permission_callback funksiyası hər zaman true qaytarır.
Sadə dillə desək, server sorğunu emal etməzdən əvvəl istifadəçinin kimliyini yoxlamır. Hacker isə ?page=gravitysmtp-settings parametrini əlavə etməklə plagin daxilindəki connector məlumatlarını işə sala bilir.
Nəticədə endpoint təxminən 365 KB həcmində JSON cavabı qaytarır. Bu cavabda saytın geniş sistem hesabatı və email inteqrasiyalarına aid həssas məlumatlar yer alır.
Amazon SES, Google və Zoho hesabları da risk altındadır
Gravity SMTP Amazon SES, Google, Mailjet, Resend və Zoho kimi servisleri dəstəkləyir. Əgər bu inteqrasiyalardan biri saytda aktivdirsə, onun API açarları, sirrləri və OAuth tokenləri cavabda görünə bilər.
Bu məlumatları ələ keçirən hücumçu sayt adından email göndərə bilər. Bu da phishing kampaniyaları, saxta biznes yazışmaları və istifadəçiləri aldadan hücumlar üçün çox təhlükəli imkan yaradır.
Wordfence tədqiqatçıları xəbərdarlıq edir ki, canlı üçüncü tərəf API məlumatlarının sızması hücumçulara bağlı email xidmətlərindən sui-istifadə etməyə şərait yaradır. Üstəlik, sistem hesabatı sonrakı hücumları planlamağı xeyli asanlaşdırır.
Sistem xəritəsi də hackerlərin əlinə keçir
Sızan hesabat təkcə email açarları ilə məhdudlaşmır. Orada WordPress versiyası, PHP versiyası, aktiv PHP genişləndirmələri, web server məlumatları və document root yolu da görünür.
Bundan başqa, verilənlər bazasının tipi və versiyası, aktiv plaginlər, onların versiya nömrələri, aktiv tema və database cədvəllərinin adları da ifşa olunur. Bu məlumatlar hackerlər üçün saytın tam texniki xəritəsi deməkdir.
Belə bir xəritə hücumçulara hansı plagin və server versiyalarında məlum boşluqlar olduğunu tez tapmağa kömək edir. Yəni ilkin sızma daha böyük hücumların başlanğıc nöqtəsinə çevrilə bilər.
Sayt sahibləri indi nə etməlidir?
Gravity SMTP istifadə edən sayt administratorları plagini dərhal 2.1.5 və ya daha yeni versiyaya yeniləməlidir. Əgər saytınızda Amazon SES, Google, Mailjet, Resend və ya Zoho inteqrasiyası varsa, API açarlarını və OAuth tokenlərini yeniləmək də vacibdir.
Həmçinin server loglarını yoxlamaq, şübhəli REST API sorğularını araşdırmaq və email göndəriş tarixçəsini analiz etmək məsləhətdir. Əgər komprometasiya ehtimalı varsa, bütün bağlı email servislerinde giriş və istifadə icazələri yenidən nəzərdən keçirilməlidir.
Nəticə: Gravity SMTP boşluğu göstərir ki, vaxtında yenilənməyən bir WordPress plagini minlərlə sayt üçün API açarlarının, email hesablarının və bütün sistem xəritəsinin sızmasına səbəb ola bilər.