해커들이 Gravity SMTP 플러그인의 보안 취약점을 악용하여 API 키를 노출시키고 있다.
Gravity SMTP는 약 10만 개의 사이트에 설치된 WordPress 플러그인이다. 최근 패치된 보안 결함(CVE-2026-4020)을 해커들이 악용하고 있으며, 이로 인해 인증되지 않은 공격자들이 구성 데이터, API 키, 비밀 정보 및 OAuth 토큰을 추출할 수 있다. CVSS 점수는 5.3으로 중간 심각도로 분류된다.
Hackers are exploiting a security flaw in the Gravity SMTP plugin to expose API keys.
Gravity SMTP is a WordPress plugin installed on about 100,000 sites. Recently patched security vulnerability (CVE-2026-4020) is being exploited by threat actors, allowing unauthenticated attackers to extract sensitive information such as configuration data, API keys, secrets, and OAuth tokens. The vulnerability has a CVSS score of 5.3, indicating medium severity.