Une vulnérabilité affectant l'extension Gravity SMTP a permis à n'importe quel visiteur de récupérer les clés API et jetons OAuth configurés sur des sites WordPress, sans avoir besoin de s'identifier. Wordfence a bloqué plus de 17 millions de tentatives d'exploitation depuis mai.
Gravity SMTP est une extension WordPress qui sert à acheminer les emails transactionnels et marketing via des fournisseurs comme Amazon SES, Google, Mailjet, Resend ou Zoho. Installée sur environ 100 000 sites, elle a hébergé pendant plusieurs mois un point d'accès accessible à tous, capable de livrer en une seule requête l'ensemble des identifiants et informations techniques du site.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Un contrôle d'accès inopérant
La faille, répertoriée sous le nom CVE-2026-4020, provient d'un point d'accès de l'API REST du plugin, situé à l'adresse /wp-json/gravitysmtp/v1/tests/mock-data. Cette API permet à un logiciel d'échanger des données avec un site web via des adresses spécifiques. Normalement, ce type de point d'accès vérifie l'identité de la personne qui le sollicite avant de répondre. Sur Gravity SMTP, la fonction chargée de ce contrôle renvoyait toujours une réponse positive, quelle que soit la personne à l'origine de la requête. En ajoutant le paramètre "?page=gravitysmtp-settings" à l'adresse du point d'accès, n'importe quel visiteur déclenchait l'envoi d'un rapport système complet au format JSON, pesant environ 365 Ko.
Ce rapport contenait tout un ensemble de données. On y retrouvait la version de WordPress et de PHP, le type et la version de la base de données, la liste des extensions actives avec leurs numéros de version, le thème utilisé, ainsi que les clés API et jetons OAuth associés aux services d'emailing connectés au plugin. Un attaquant disposant de ces identifiants peut envoyer des emails au nom du site touché, une arme particulièrement efficace pour déployer des campagnes de phishing ou des arnaques de type fraude au président. Le détail du système permet de préparer d'autres attaques en ciblant des versions de plugins ou de serveurs connues pour leurs propres vulnérabilités.
Le correctif est disponible depuis la version 2.1.5, publiée le 17 mars 2026, et le problème a été rendu public deux semaines plus tard. L'exploitation à grande échelle n'a démarré qu'en mai, avant de s'intensifier début juin. Wordfence a recensé plus de 4 millions de requêtes malveillantes lors de la seule journée du 7 juin.
Les administrateurs de sites utilisant Gravity SMTP doivent mettre à jour le plugin vers la version 2.1.5 ou une version plus récente, puis régénérer les clés et jetons configurés auprès de chaque service d'emailing connecté : la mise à jour ferme l'accès vulnérable, mais elle ne révoque pas les identifiants déjà récupérés. Nous rapportions en mars dernier qu'une faille comparable, dans le plugin User Registration & Membership utilisé par plus de 60 000 sites, permettait elle aussi à un simple visiteur d'obtenir des droits élevés sans authentification.
- moodVersion d'essai disponible
- settingsHébergé / pré-installé
- storage1 Go à 200 Go de stockage
- extensionPlugins disponibles
- format_paintThemes disponibles
- shopping_bagAdapté aux sites e-commerce
WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.
