CVE-2026-4020 : Gravity SMTP expose des données sensibles via un endpoint REST non protégé
🔍 Contexte CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026. ⚙️ Mécanisme technique La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true. ...