Gravity SMTP WordPress CVE-2026-4020 que vérifier

Publié le - 16 mai 2026

coco sécurité, WordPress
tableau de bord WordPress avec alerte Gravity SMTP et configuration mail protégée
Rate this post

Si ton site utilise Gravity SMTP pour envoyer les mails WordPress, regarde la version installée avant de passer à autre chose. La faille CVE-2026-4020 touche Gravity SMTP jusqu’à la version 2.1.4 et elle expose des données de configuration via une route REST accessible sans compte. Le correctif est arrivé avec Gravity SMTP 2.1.5, puis la branche 2.1.6 a suivi avec d’autres corrections.

Le sujet revient fort parce que Wordfence a mis sa fiche à jour le 13 mai 2026 avec un signal très concret. Plus de 60 350 attaques ciblant cette vulnérabilité ont été bloquées sur les dernières vingt quatre heures au moment de cette mise à jour. Ce n’est pas une petite ligne de changelog oubliée. C’est une fuite qui donne de quoi préparer une attaque plus précise sur ton WordPress.

Ce que tu dois retenir
  • Gravity SMTP 2.1.4 et les versions plus anciennes sont touchées par CVE-2026-4020.
  • La route REST vulnérable peut répondre sans connexion WordPress.
  • La réponse peut contenir un rapport système très détaillé.
  • Des clés API ou tokens configurés dans le plugin peuvent se retrouver exposés.
  • La version 2.1.5 ou plus récente doit être installée, avec contrôle des logs et rotation des secrets.
Si Gravity SMTP gère les mails de formulaires, de commandes ou de réinitialisation de mot de passe, ne traite pas cette alerte comme un simple réglage email. Le plugin connaît souvent des secrets qui donnent accès à des services externes.

Pourquoi Gravity SMTP doit être vérifié maintenant

Gravity SMTP sert à fiabiliser l’envoi des emails depuis WordPress. Il peut connecter ton site à Gmail, Microsoft, SendGrid, Mailgun, Brevo, Postmark, SparkPost ou à un serveur SMTP personnalisé. Son rôle peut sembler limité. En pratique, ce type d’extension touche à des messages sensibles, des notifications clients, des formulaires de contact, des reçus, des comptes et parfois des accès à des plateformes mail.

La faille CVE-2026-4020 ne permet pas directement de devenir administrateur. Le risque est moins visible, mais sérieux. Elle donne des informations que tu ne veux pas laisser sortir. Version PHP, extensions chargées, serveur web, version WordPress, thème actif, plugins actifs avec leurs versions, tables de base de données, chemin du document root, options de configuration et secrets du plugin peuvent se retrouver dans la réponse.

Un attaquant adore ce genre de récolte. Il ne devine plus ton environnement au hasard. Il sait quels composants tu utilises, quelles versions traînent, quel connecteur mail est configuré et quels points faibles chercher ensuite. Une fuite de configuration n’est pas spectaculaire, mais elle peut préparer une compromission beaucoup plus propre.

Ce que fait CVE-2026-4020

Le problème vient d’une route REST liée à Gravity SMTP. La route concernée est /wp-json/gravitysmtp/v1/tests/mock-data. Dans les versions vulnérables, son contrôle d’accès laisse passer les visiteurs non connectés. Avec le paramètre page=gravitysmtp-settings, le plugin peut charger des données internes de connecteurs et retourner un gros JSON de rapport système.

Le volume annoncé tourne autour de 365 Ko de données. Ce n’est pas juste le nom du plugin et sa version. Le rapport peut remonter des détails précis sur le serveur et sur WordPress. Si des clés API ou tokens sont stockés dans Gravity SMTP, ils peuvent aussi être exposés selon la configuration.

Le score Wordfence affiché est de 5.3, parce que l’impact porte surtout sur la confidentialité. Ne te laisse pas tromper par ce score moyen. Une fuite de secrets SMTP ou de tokens API peut permettre l’envoi de mails frauduleux, le contournement de certaines protections, une meilleure cartographie du site et des attaques ciblées sur des plugins déjà vulnérables.

Ne teste jamais cette route sur un site qui ne t’appartient pas. Sur ton propre site, fais le contrôle depuis les logs et mets à jour sans exposer le contenu de la réponse.

Les versions Gravity SMTP à vérifier

La plage vulnérable est simple à lire. Gravity SMTP 2.1.4 et les versions plus anciennes doivent sortir de production. Gravity SMTP 2.1.5 ajoute les renforcements de sécurité associés au correctif. Si ton tableau de bord propose 2.1.6 ou plus récent, prends la version la plus récente.

Fais attention aux sites qui gardent les plugins mail en retrait des mises à jour automatiques. Beaucoup d’admins évitent de toucher à l’envoi email par peur de casser les formulaires ou les commandes. C’est compréhensible, mais un connecteur SMTP non corrigé garde des secrets utiles à un attaquant.

Version installée Statut Action utile
2.1.4 ou moins Vulnérable Mettre à jour en 2.1.5 ou plus récent
2.1.5 Corrigée Renouveler les secrets exposés si besoin
2.1.6 ou plus récent Meilleur choix Garder la surveillance des logs
Plugin désactivé mais présent À nettoyer Supprimer si aucun besoin

Pourquoi une fuite SMTP peut enchaîner les problèmes

Un plugin SMTP concentre rarement une seule information. Il connaît le service mail, les connecteurs, les adresses d’expédition, certains réglages de retour, parfois des clés API, parfois des identifiants chiffrés ou masqués selon la méthode de stockage. Si ces éléments sortent, ton problème ne reste pas limité à WordPress.

Un token SendGrid, Mailgun, Brevo ou Postmark exposé peut servir à envoyer des campagnes douteuses, contourner la réputation de domaine, tester des envois vers des boîtes clients ou comprendre comment ton site communique. Même si le token ne permet pas tout, il donne un accès à révoquer vite. La bonne réaction consiste à considérer chaque secret potentiellement visible comme compromis si ton site était vulnérable et déjà scanné.

Les données serveur comptent aussi. Connaître ta version PHP, ton serveur web, tes extensions chargées, ton thème actif et la liste des plugins aide à choisir la prochaine faille à tenter. C’est pour ça que cette alerte mérite un vrai tri, même si le site semble fonctionner et si aucune page publique ne montre de souci.

Ce que tu dois faire maintenant

Commence par fermer la fuite, puis regarde ce qui a pu sortir. Une mise à jour règle la route vulnérable, mais elle ne renouvelle pas les clés déjà exposées et elle n’efface pas les traces d’un scan passé.

  1. Va dans Extensions et cherche Gravity SMTP.
  2. Si la version est 2.1.4 ou plus ancienne, mets à jour en 2.1.5 ou plus récent.
  3. Supprime le plugin s’il est désactivé et inutile.
  4. Contrôle les requêtes vers wp-json/gravitysmtp/v1/tests/mock-data.
  5. Regarde si le paramètre page=gravitysmtp-settings apparaît dans les journaux.
  6. Renouvelle les clés API ou tokens des services mail configurés.
  7. Vérifie les plugins et versions révélés par ton rapport système.
wp plugin get gravitysmtp --field=version
wp plugin update gravitysmtp
grep "gravitysmtp/v1/tests/mock-data" access.log
wp user list --role=administrator --fields=ID,user_login,user_email,user_registered

Si tu n’as pas WP CLI, fais le même travail depuis le tableau de bord et l’interface de ton hébergeur. Tu veux répondre à quatre questions. Quelle version était active. La route a t elle été appelée. Quels secrets SMTP étaient configurés. Quelles versions de plugins ont pu être révélées.

Les traces à surveiller dans les logs

Le meilleur signal se trouve dans les journaux HTTP. Cherche /wp-json/gravitysmtp/v1/tests/mock-data, puis regarde les requêtes qui ajoutent page=gravitysmtp-settings. Si tu vois beaucoup d’IP externes, des user agents de scan, des heures rapprochées ou des réponses volumineuses, note la période et garde les lignes utiles.

Regarde aussi les jours autour du 13 mai 2026, car la fiche Wordfence mise à jour à cette date parle d’un volume d’attaques élevé. Tu peux élargir la recherche depuis fin mars 2026, car la vulnérabilité a été rendue publique avant cette hausse d’activité. Sur un site avec peu de trafic, même une seule requête sur cette route mérite un contrôle.

  • Signal côté API Appels vers la route mock-data sans usage admin connu.
  • Signal côté volume Réponse JSON plus lourde que les requêtes REST habituelles.
  • Signal côté secrets Connecteurs mail avec clés API encore valides.
  • Signal côté versions Plugins anciens listés dans le rapport système.
  • Signal côté SEO Pages ou redirections créées après un scan suspect.

Les secrets SMTP à renouveler

Si tu étais en Gravity SMTP 2.1.4 ou moins et que les logs montrent un appel suspect, passe en mode nettoyage. Renouvelle les clés API des services mail, les tokens OAuth, les mots de passe SMTP personnalisés et les clés liées aux intégrations actives. Ne te limite pas au connecteur principal si un connecteur de secours était aussi configuré.

Regarde ensuite les règles d’envoi. Une clé compromise peut servir à envoyer des mails depuis ton domaine, abîmer ta délivrabilité ou créer des alertes chez ton fournisseur. Vérifie les statistiques d’envoi, les rebonds, les volumes inhabituels et les destinataires récents. Si tu vois une activité inconnue, coupe la clé, crée une nouvelle clé avec des droits réduits et surveille le domaine.

Profite du tri pour réduire le nombre d’accès et de secrets stockés. Un connecteur de test gardé depuis une migration, une ancienne clé Mailgun, un accès SMTP transmis par mail ou un compte d’agence encore actif n’ont rien à faire là. Moins de secrets dans WordPress, moins de casse quand une extension fuit une configuration.

Le lien avec les autres failles WordPress récentes

Cette alerte Gravity SMTP arrive dans une période chargée pour WordPress. Si tu gères plusieurs sites, compare ton parc avec les dossiers récents sur Burst Statistics CVE-2026-8181, Avada Builder CVE-2026-4782 et CVE-2026-4798 et WP-Optimize CVE-2026-7252. Le même site peut cumuler plusieurs extensions en retard.

Pour la défense de base, reprends aussi la protection WordPress contre les attaques brute force. Ce n’est pas la même faille, mais le tri des comptes, la double authentification et les journaux propres aident quand une fuite REST te force à vérifier vite. Si tu touches aux fichiers ou aux droits, garde les permissions CHMOD WordPress sous la main.

Après la mise à jour, vide les caches si ton site en utilise. Les réglages SMTP ne sont pas censés modifier le rendu public, mais un cache peut masquer une page de test, une redirection ou un message de maintenance. Notre article sur vider le cache WordPress peut t’éviter des faux signaux pendant le contrôle.

Quand une faille expose un rapport système, ne regarde pas seulement le plugin fautif. Utilise la liste des plugins révélés pour repérer les autres mises à jour en retard.
signes de piratage WordPress par Wordfence

Mon avis franc

Gravity SMTP CVE-2026-4020 n’est pas la faille la plus bruyante du mois, mais elle mérite une réaction nette. Une route REST ouverte, un rapport système détaillé, des secrets mail possibles et des dizaines de milliers de requêtes bloquées sur une journée, ça suffit pour traiter ce correctif comme une priorité réelle.

La bonne séquence tient en peu d’actions. Tu passes Gravity SMTP en 2.1.5 ou plus récent. Tu cherches la route touchée dans les logs. Tu renouvelles les clés et tokens mail si ton site était exposé. Tu vérifies les plugins anciens révélés par le rapport système. Tu supprimes les connecteurs inutiles. Ensuite, tu gardes une surveillance courte sur les envois email, les comptes admins et les pages créées depuis la période de scan.

FAQ Gravity SMTP WordPress

Gravity SMTP 2.1.4 est il vulnérable

Oui. Gravity SMTP 2.1.4 et les versions plus anciennes sont touchées par CVE-2026-4020. Passe en 2.1.5 ou plus récent.

CVE-2026-4020 demande t elle un compte WordPress

Non. La fuite passe par une route REST accessible sans connexion si le plugin vulnérable est présent sur le site.

Que faire après la mise à jour de Gravity SMTP

Contrôle les accès à wp-json, renouvelle les clés API et tokens SMTP exposés, vérifie les plugins listés et garde les logs autour du 13 mai 2026.

Faut il couper Gravity SMTP si la mise à jour attend

Oui si tu ne peux pas corriger vite. Désactive le plugin ou bloque la route REST touchée le temps de passer en version corrigée.