🔍 Contexte

CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026.

⚙️ Mécanisme technique

La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true.

Les données exposées incluent :

  • Versions PHP et serveur web, extensions chargées, chemins document root
  • Version WordPress, thème actif, liste des plugins installés et leurs versions
  • Métadonnées de base de données (plateforme, tables)
  • Valeurs de configuration du plugin, incluant potentiellement des clés API ou tokens

📊 Données télémétriques

  • 412 IPs attaquantes distinctes observées entre le 27 mai et le 1er juin 2026
  • Activité classifiée Background Noise (automatisation de masse)
  • Pays sources principaux : France, Pays-Bas, États-Unis
  • Secteurs victimes : commerce (55%), SOHO (39%)
  • Objectif principal observé : infrastructure takeover (83%)

🎯 Impact et exploitation

Bien que la vulnérabilité ne permette pas d’exécution de code à distance directement, elle constitue un outil de reconnaissance puissant permettant aux attaquants de cartographier l’infrastructure cible, identifier des plugins vulnérables supplémentaires et récupérer des secrets (tokens, clés API) pour préparer des attaques de suivi.

📋 Type d’article

Il s’agit d’un rapport de vulnérabilité combinant analyse technique et données télémétriques de la plateforme CrowdSec, visant à informer les équipes de sécurité sur l’état d’exploitation active de CVE-2026-4020.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1552 — Unsecured Credentials (Credential Access)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)

IOC

  • URLs : /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settingsURLhaus
  • CVEs : CVE-2026-4020NVD · CIRCL

Malware / Outils

  • Nuclei template CVE-2026-4020 (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ crowdsec.net — source non référencée (0pts)
  • ✅ 5935 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-4020-gravity-smtp-information-disclosure