Aktor ancaman saat ini tengah melancarkan eksploitasi massal terhadap kerentanan keamanan yang berdampak pada Gravity SMTP, sebuah plugin WordPress yang diinstal di sekitar 100.000 situs web.

Kerentanan yang dilacak sebagai CVE-2026-4020 memiliki skor keparahan menengah (CVSS: 5.3). Meskipun skornya tidak masuk kategori kritis, dampak operasionalnya sangat fatal. Celah ini berupa pengungkapan informasi (Information Disclosure) yang memungkinkan penyerang tanpa autentikasi mengekstrak data sensitif, termasuk data konfigurasi, kunci API, dan token rahasia yang dikonfigurasi untuk integrasi email situs.

Akar masalah dari kerentanan ini terletak pada titik akhir (endpoint) REST API yang terdaftar di /wp-json/gravitysmtp/v1/tests/mock-data.

Menurut analisis teknis dari Wordfence, titik akhir ini memiliki parameter permission_callback yang secara tanpa syarat selalu mengembalikan nilai true. Kesalahan logika ini mengizinkan setiap pengunjung situs, tanpa perlu login, untuk mengakses titik akhir tersebut.

Baca Juga:
Lanskap Ancaman Kuartal I-2026, 280 Ribu Serangan DDoS Gempur Infrastruktur Digital Indonesia

Mekanisme Pemicu (Trigger): Ketika penyerang menambahkan parameter kueri ?page=gravitysmtp-settings ke dalam URL, metode internal plugin (register_connector_data()) akan terpicu untuk mengisi data konektor. Hal ini menyebabkan peladen (server) memuntahkan sekitar 365 KB data JSON yang berisi Laporan Sistem (System Report) secara utuh kepada penyerang.

Data sensitif yang berhasil diekstrak meliputi:

• Kredensial Layanan Pihak Ketiga: Kunci API/Token yang dikonfigurasi dalam plugin (seperti Amazon SES, Google, Mailjet, Resend, dan Zoho).
• Arsitektur Peladen: Versi PHP, ekstensi yang dimuat, versi peladen web, tipe dan versi basis data, serta jalur rootdokumen.
• Konfigurasi WordPress: Versi CMS, rincian konfigurasi inti, nama tabel basis data, hingga daftar plugin dan tema aktif beserta versinya.

Kerentanan eksposur informasi ini tidak hanya dimanfaatkan secara teoretis; ia telah dieksploitasi secara agresif di alam liar (in the wild). Badai eksploitasi terjadi dengan mengirimkan permintaan HTTP GET tanpa autentikasi ke titik akhir REST API yang rentan.

Wordfence melaporkan telah memblokir lebih dari 17 juta upaya eksploitasi yang menargetkan CVE-2026-4020.

• Awal Aktivitas: Terdeteksi pada awal Mei 2026.
• Puncak Serangan: Melonjak drastis pada 6 Juni 2026, menyentuh rekor tertinggi lebih dari 4.000.000 permintaan dalam satu hari.

Top 10 Alamat IP Penyerang (Attacking IPs):

• 45.148.10.95
• 193.32.162.60
• 176.65.148.139
• 173.199.90.188
• 45.148.10.120
• 185.8.107.155
• 185.8.106.37
• 185.8.106.92
• 185.8.106.145
• 176.65.148.30

Eksploitasi pada CVE-2026-4020 membuktikan bahwa skor CVSS 5.3 (Menengah) bisa berujung pada kerusakan berskala Kritis (CVSS 9.0+) jika data yang bocor adalah kredensial pihak ketiga.

Dengan memegang Laporan Sistem utuh, peretas tidak lagi perlu meraba-raba kelemahan situs Anda. Mereka mendapatkan cetak biru (blueprint) infrastruktur secara gratis, yang kemudian difungsikan sebagai fondasi peluncuran serangan tahap lanjut (follow-on attacks), sementara kredensial email yang dicuri dapat disalahgunakan untuk kampanye phishing berskala besar mengatasnamakan domain Anda.

Tindakan Tanggap Darurat yang Wajib Dilakukan:

1. Asumsikan Telah Terkompromi (Assume Breach): Jika situs Anda menjalankan plugin Gravity SMTP versi rentan dengan integrasi pihak ketiga yang aktif, asumsikan kunci API Anda sudah berada di tangan peretas.
2. Rotasi Kredensial Segera: Setelah memperbarui plugin ke versi 2.1.5 (Patch Resmi), Anda wajib mencabut (revoke) dan membuat ulang seluruh kunci API dari layanan email eksternal (Amazon SES, Zoho, Mailjet, dll.).
3. Audit Forensik Log Peladen: Periksa log akses server Anda untuk mencari lalu lintas masuk dari 10 alamat IP ancaman yang tercantum di atas, khususnya permintaan yang mengarah ke titik akhir /wp-json/gravitysmtp/v1/.