https://cyberveille.ch/tags/gravity-smtp/ Recent content in Gravity SMTP on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-cve-2026-4020-gravity-smtp-expose-des-donnees-sensibles-via-un-endpoint-rest-non-protege/ Mon, 01 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-01-cve-2026-4020-gravity-smtp-expose-des-donnees-sensibles-via-un-endpoint-rest-non-protege/ <h2 id="-contexte">🔍 Contexte</h2> <p>CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité <strong>CVE-2026-4020</strong> affectant le plugin WordPress <strong>Gravity SMTP</strong> développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026.</p> <h2 id="-mécanisme-technique">⚙️ Mécanisme technique</h2> <p>La faille réside dans un <strong>endpoint REST API exposé sans contrôle d&rsquo;accès approprié</strong>. L&rsquo;endpoint <code>/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings</code> est accessible sans authentification car la vérification de permission retourne systématiquement <code>true</code>.</p>