🔥 この記事の詳細
2026-06-20 更新
B
今週中

WordPressプラグイン「Gravity SMTP」に、認証なしで機密情報を取得できる脆弱性(CVE-2026-4020)が発見され、悪用が確認されています

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品WordPress
🔢 CVECVE-2026-4020
📅 2026-06-20📰 bleeping
📌 一言でいうと
WordPressプラグイン「Gravity SMTP」に、認証なしで機密情報を取得できる脆弱性(CVE-2026-4020)が発見され、悪用が確認されています。攻撃者はREST APIエンドポイントを通じて、APIキー、OAuthトークン、サードパーティメールサービスの認証情報などの「システムレポート」を不正に取得可能です。この問題はバージョン2.1.5で修正されており、利用者は速やかなアップデートが推奨されます。
🔍該当判定
  • WordPressで「Gravity SMTP」プラグインをインストールして利用している
  • 「Gravity SMTP」のバージョンが 2.1.4 以前である
  • Amazon SES, Google, Mailjet, Resend, Zoho などの外部メール送信サービスをWordPressと連携させている
上記いずれにも該当しない → 静観でOK
該当時の対応
Gravity SMTPプラグインを最新バージョン(2.1.5以降)にアップデートしてください。また、漏洩の可能性があるAPIキーや認証情報の変更を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Gravity SMTP (CVE-2026-4020) 対応について

お疲れさまです。Gravity SMTPの脆弱性に関する情報共有です。

■ 概要
WordPressプラグイン「Gravity SMTP」において、認証なしでシステムレポート(APIキーや認証情報を含む)が取得可能な情報漏洩の脆弱性が確認されました。Wordfence社によると、既に1,700万回以上の攻撃試行が観測されており、悪用リスクが非常に高い状態です。

■ 影響範囲
- 対象製品: Gravity SMTP (WordPress Plugin)
- 対象バージョン: 2.1.4 およびそれ以前のすべてのバージョン

■ 対応手順
1. プラグインのバージョンを確認し、2.1.5 未満である場合は直ちにアップデートを適用してください。
2. 脆弱なバージョンを利用していた場合、設定済みのメールサービス(Amazon SES, Google, Mailjet, Resend, Zoho等)のAPIキーやシークレットが漏洩した可能性があるため、これらのキーの再発行・更新を強く推奨します。

■ 参考情報
- CVE-2026-4020

対応優先度: 高
対応期限: 至急
Subject: [Security Advisory] Gravity SMTP Vulnerability (CVE-2026-4020)

Dear IT/Security Team,

We are sharing information regarding a critical information disclosure vulnerability in the Gravity SMTP WordPress plugin.

■ Overview
An unauthenticated information disclosure vulnerability (CVE-2026-4020) has been identified in Gravity SMTP. Attackers can exploit an exposed REST API endpoint to retrieve a comprehensive 'System Report' containing sensitive API keys, OAuth tokens, and credentials for third-party email services. Over 17 million attack attempts have already been blocked by Wordfence.

■ Scope
- Product: Gravity SMTP (WordPress Plugin)
- Affected Versions: All versions 2.1.4 and older

■ Remediation Steps
1. Immediately update the Gravity SMTP plugin to version 2.1.5 or later.
2. If the plugin was running a vulnerable version, it is highly recommended to rotate all API keys and secrets for configured email integrations (e.g., Amazon SES, Google, Mailjet, Resend, Zoho) as they may have been compromised.

■ Reference
- CVE-2026-4020

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
hackernewsWordPressプラグイン「Gravity SMTP」に、認証なしで機密情報を抽出できる脆弱性(CVE-2026-4020)が発見され…
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-20 のまとめ🔍 記事を検索