Berita Terbaru

100 Ribu Situs WordPress Terancam Akibat Bug Gravity SMTP

Wordpress

Wordpress

Ancaman terhadap ekosistem WordPress kembali meningkat setelah pelaku kejahatan siber mulai secara aktif mengeksploitasi celah keamanan pada plugin Gravity SMTP. Kerentanan ini memungkinkan penyerang mencuri berbagai informasi sensitif, termasuk API key, secret key, hingga token OAuth yang digunakan untuk menghubungkan situs dengan layanan pengiriman email pihak ketiga.

Plugin Gravity SMTP sendiri digunakan oleh sekitar 100.000 situs WordPress di seluruh dunia sebagai solusi untuk mengelola pengiriman email melalui berbagai penyedia layanan seperti Amazon SES, Google, Mailjet, Resend, maupun Zoho.

Kerentanan tersebut terdaftar sebagai CVE-2026-4020 dengan skor CVSS 5,3, yang dikategorikan sebagai tingkat keparahan sedang. Meski demikian, para peneliti keamanan menilai dampaknya dapat menjadi jauh lebih serius karena memungkinkan penyerang memperoleh kredensial layanan email yang dapat dimanfaatkan untuk melakukan serangan lanjutan.

 

Celah Berasal dari Endpoint REST API

Peneliti keamanan dari Wordfence mengungkapkan bahwa akar permasalahan berasal dari sebuah endpoint REST API pada plugin Gravity SMTP, yaitu:

/wp-json/gravitysmtp/v1/tests/mock-data

Endpoint tersebut menggunakan fungsi permission_callback yang selalu mengembalikan nilai true, sehingga siapa pun dapat mengaksesnya tanpa harus melakukan proses login maupun autentikasi.

Kondisi tersebut membuat endpoint dapat diakses secara bebas melalui internet. Lebih berbahaya lagi, jika penyerang menambahkan parameter:

?page=gravitysmtp-settings

maka plugin akan menjalankan metode register_connector_data() yang memuat data internal konektor dan menghasilkan laporan sistem (System Report) berukuran sekitar 365 KB dalam format JSON.

Laporan tersebut ternyata memuat berbagai informasi sensitif yang seharusnya hanya dapat diakses oleh administrator situs.

 

Informasi Sensitif yang Berpotensi Bocor

Melalui eksploitasi celah tersebut, pelaku dapat mengumpulkan berbagai informasi penting mengenai konfigurasi server maupun situs WordPress yang menjadi target. Data yang berpotensi terekspos meliputi:

  • versi PHP yang digunakan;
  • daftar ekstensi PHP yang aktif;
  • versi web server;
  • lokasi folder utama (Document Root);
  • jenis dan versi server database;
  • versi WordPress;
  • daftar seluruh plugin beserta versinya;
  • tema WordPress yang sedang digunakan;
  • detail konfigurasi WordPress;
  • nama seluruh tabel database.

Yang paling mengkhawatirkan, laporan sistem juga dapat mengungkap API key, secret key, serta token autentikasi dari berbagai layanan email pihak ketiga yang telah dikonfigurasi pada plugin.

Layanan yang berpotensi terdampak antara lain Amazon SES, Google, Mailjet, Resend, dan Zoho.

 

Bisa Digunakan untuk Mengambil Alih Layanan Email

Kebocoran kredensial tersebut membuka peluang bagi penyerang untuk menyalahgunakan akun layanan email milik korban.

Apabila API key berhasil diperoleh, pelaku dapat mengirim email menggunakan identitas situs korban. Serangan semacam ini berpotensi dimanfaatkan untuk menyebarkan phishing, spam, hingga penipuan dengan memanfaatkan reputasi domain yang sah.

Selain itu, informasi teknis yang sangat lengkap mengenai konfigurasi server juga dapat menjadi "peta" bagi penyerang dalam menyusun serangan berikutnya. Dengan mengetahui teknologi, plugin, versi perangkat lunak, hingga struktur sistem yang digunakan sebuah situs, pelaku dapat lebih mudah mencari celah keamanan lainnya.

Wordfence menjelaskan bahwa tingkat risiko dari kerentanan kebocoran informasi sangat bergantung pada jenis data yang berhasil diperoleh penyerang.

Dalam kasus CVE-2026-4020, kebocoran API key layanan email dinilai memiliki dampak yang cukup serius karena dapat langsung dimanfaatkan untuk mengakses layanan eksternal yang terhubung dengan situs WordPress.

 

Eksploitasi Sudah Terjadi Sebelum Patch Dirilis

Meski pengembang Gravity SMTP telah merilis pembaruan keamanan melalui versi 2.1.5, para peneliti menemukan bahwa eksploitasi telah berlangsung sebelum sebagian besar pengguna melakukan pembaruan.

Pelaku diketahui mengirimkan permintaan HTTP GET tanpa autentikasi menuju endpoint REST API yang rentan dengan menambahkan parameter:

?page=gravitysmtp-settings

Akibatnya, server langsung mengembalikan laporan sistem lengkap tanpa memerlukan proses login, sehingga seluruh informasi sensitif dapat diperoleh secara otomatis.

Kondisi ini membuat situs yang belum memperbarui plugin berada dalam risiko tinggi mengalami kebocoran data.

 

Lebih dari 17 Juta Upaya Eksploitasi

Wordfence mengungkapkan telah berhasil memblokir lebih dari 17 juta percobaan eksploitasi yang menargetkan kerentanan CVE-2026-4020. Aktivitas serangan pertama kali terdeteksi pada awal Mei 2026, kemudian meningkat tajam sekitar 6 Juni 2026.

Puncak serangan terjadi sehari kemudian, ketika sistem Wordfence mencatat lebih dari 4 juta permintaan eksploitasi hanya dalam waktu satu hari. Beberapa alamat IP yang diketahui digunakan dalam kampanye serangan tersebut antara lain:

  • 45.148.10.95
  • 193.32.162.60
  • 176.65.148.139
  • 173.199.90.188
  • 45.148.10.120
  • 185.8.107.155
  • 185.8.106.37
  • 185.8.106.92
  • 185.8.106.145
  • 176.65.148.30

Daftar IP tersebut dapat dijadikan referensi awal bagi administrator untuk meninjau log server dan mengidentifikasi apakah situs mereka pernah menjadi sasaran percobaan eksploitasi.

 

Administrator Diminta Segera Mengambil Langkah Mitigasi

Pengguna yang masih menjalankan Gravity SMTP versi rentan disarankan segera memperbarui plugin ke versi 2.1.5 atau yang lebih baru.

Namun, memperbarui plugin saja belum tentu cukup. Jika plugin sebelumnya telah dikonfigurasi dengan layanan email pihak ketiga, administrator sebaiknya menganggap bahwa kredensial yang digunakan berpotensi telah terekspos. Karena itu, langkah mitigasi yang disarankan meliputi:

  • memperbarui Gravity SMTP ke versi terbaru;
  • mengganti (rotate) seluruh API key, secret key, token OAuth, dan kredensial layanan email;
  • memeriksa log server untuk mendeteksi akses mencurigakan ke endpoint REST API yang rentan;
  • mengaudit aktivitas pengiriman email guna memastikan tidak ada penyalahgunaan akun.

Langkah-langkah tersebut penting dilakukan untuk mencegah penyalahgunaan layanan email serta mengurangi risiko serangan lanjutan yang memanfaatkan informasi sistem yang telah bocor.

Kasus CVE-2026-4020 kembali menjadi pengingat bahwa kerentanan dengan tingkat keparahan sedang sekalipun dapat menimbulkan dampak besar apabila memungkinkan akses terhadap data sensitif. Oleh karena itu, pembaruan plugin secara berkala, pemantauan log server, dan rotasi kredensial harus menjadi bagian dari praktik keamanan rutin bagi setiap pengelola situs WordPress.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait