Peretas Eksploitasi Celah Keamanan Kebocoran Informasi pada Plugin WordPress Gravity SMTP

Aktor ancaman siber dilaporkan tengah aktif mengeksploitasi celah keamanan kebocoran informasi tanpa otentikasi (unauthenticated information disclosure) pada plugin WordPress populer, Gravity SMTP. Plugin ini tercatat aktif digunakan di lebih dari 100.000 situs web di seluruh dunia.

Kerentanan keamanan ini diidentifikasi sebagai CVE-2026-4020 dan mendapatkan peringkat tingkat keparahan sedang (medium severity). Celah ini berdampak pada seluruh versi plugin Gravity SMTP mulai dari versi 2.1.4 dan versi yang lebih tua. Pihak pengembang sendiri sebenarnya telah merilis perbaikan untuk masalah ini pada versi 2.1.5 yang diluncurkan sejak 17 Maret lalu.

Kendati sudah ada pembaruan, perusahaan keamanan khusus WordPress, Defiant, mengeluarkan peringatan keras bahwa para peretas kini secara agresif mengeksploitasi kerentanan tersebut di ekosistem internet. Sistem firewall besutan mereka, Wordfence, dilaporkan telah berhasil memblokir lebih dari 17 juta upaya serangan yang mengincar para pelanggan mereka yang dilindungi.

Masalah teknis ini berakar dari adanya ekspos pada titik akhir REST API (REST API endpoint) di dalam sistem Gravity SMTP. Komponen permission_callback pada endpoint tersebut dikonfigurasi secara keliru sehingga selalu mengembalikan nilai “true”. Celah ini memungkinkan penyerang eksternal untuk mengirimkan permintaan GET tanpa otentikasi guna memicu pengiriman laporan sistem komprehensif (System Report) berformat JSON yang dihasilkan oleh plugin. Tumpukan data yang bocor melalui laporan tersebut dapat memuat informasi sensitif berupa:

• API keys, secrets, dan OAuth tokens untuk integrasi layanan email yang dikonfigurasi.
• Data kredensial login untuk layanan email pihak ketiga, termasuk Amazon SES, Google, Mailjet, Resend, dan Zoho.
• Detail konfigurasi WordPress, termasuk daftar plugin yang diinstal, tema yang digunakan, serta versi software.
• Informasi mengenai lingkungan server dan PHP environment.
• Detail konfigurasi basis data (database), termasuk versi server dan nama-nama tabel.

Meskipun secara formal hanya dikategorikan memiliki tingkat keparahan sedang, kerentanan CVE-2026-4020 ini sangat berbahaya karena dapat dieksploitasi secara remote tanpa memerlukan hak login sama sekali. Data kredensial layanan email yang berhasil dicuri melalui celah ini dapat disalahgunakan oleh peretas untuk menyamar sebagai pemilik situs web resmi di hadapan pihak ketiga, serta memberikan gambaran mendalam mengenai tumpukan software stack situs untuk memetakan potensi celah keamanan lainnya.

Para peneliti dari Wordfence memperingatkan bahwa ekspos pada kredensial API pihak ketiga yang aktif berarti penyerang dapat menyalahgunakan layanan email yang terhubung dengan situs untuk kampanye spam atau phishing, sementara detail laporan sistem yang bocor secara signifikan menurunkan tingkat kesulitan bagi peretas dalam merencanakan serangan lanjutan yang lebih destruktif.

Berdasarkan grafik pemantauan Wordfence, volume aktivitas eksploitasi ini mengalami lonjakan drastis pada tanggal 7 Juni, di mana sistem mencatatkan pemblokiran hingga 4 juta permintaan serangan hanya dalam satu hari tersebut. Tren serangan serupa dengan volume tinggi terus terekam selama beberapa hari berturut-turut setelahnya.

Guna membantu para administrator situs web dalam melakukan langkah mitigasi, pihak firma keamanan telah merilis daftar alamat IP (source IP addresses) yang tercatat paling produktif dalam meluncurkan permintaan eksploitasi ini agar dapat segera dimasukkan ke dalam daftar blokir (blocklist) jaringan. Sementara itu, indikator utama dari adanya kompromi sistem (Indicator of Compromise) dapat diidentifikasi melalui pemeriksaan log akses server web. Administrator harus mewaspadai adanya permintaan akses mencurigakan ke direktori /wp-json/gravitysmtp/v1/tests/mock-data, terutama yang menyertakan parameter kueri ?page=gravitysmtp-settings.

Di samping ancaman pada Gravity SMTP, Defiant juga menerbitkan penasihat keamanan terpisah mengenai temuan celah keamanan kritis berupa penghapusan file secara acak tanpa otentikasi pada plugin Avada Builder, yang saat ini aktif digunakan di sekitar satu juta situs WordPress.

Kerentanan pada Avada Builder tersebut dilacak sebagai CVE-2026-8713 dan memungkinkan penyerang menghapus file apa pun di dalam server melalui celah pencarian jalur folder (path traversal flaw), dengan catatan jika ada formulir Avada yang dipublikasikan dikonfigurasi untuk menyimpan kiriman data ke database. Tindakan penghapusan file krusial seperti file utama wp-config.php dapat memaksa situs web kembali ke kondisi pengaturan awal (initial setup state), yang membuka peluang bagi peretas untuk mengambil alih kendali penuh atas situs (full site takeover) serta melancarkan serangan eksekusi kode jarak jauh.

Masalah pada Avada Builder ini telah berhasil diperbaiki pada pembaruan versi 3.15.4. Meskipun sejauh ini belum terdeteksi adanya aktivitas eksploitasi aktif di lapangan untuk CVE-2026-8713, para administrator situs web sangat disarankan untuk melakukan upgrade versi secepatnya demi menghindari potensi serangan.