Faille Gravity SMTP : 100 000 sites WordPress exposés
Une faille dans Gravity SMTP, utilisée par 100 000 sites WordPress, a exposé les identifiants e-mail et clés API. Le correctif est disponible depuis mars, mais des millions de requêtes malveillantes ont été détectées en juin, ciblant les sites non mis à jour.
« Le 7 juin, Wordfence a enregistré plus de 4 millions de requêtes malveillantes en 24 heures. » — Siecle Digital
Que faut-il retenir ?
- Gravity SMTP est utilisée par environ 100 000 sites WordPress pour envoyer des mails transactionnels.
- La faille CVE-2026-4020 permettait d'accéder aux clés API et jetons OAuth via l'API REST du plugin.
- Wordfence a enregistré 4 millions de requêtes malveillantes en 24 heures le 7 juin.
- Les administrateurs doivent révoquer et régénérer les clés API même après la mise à jour du plugin.
Pourquoi cette nouvelle compte-t-elle ?
Cette faille expose les sites WordPress à des attaques massives, compromettant les envois de mails transactionnels. Les professionnels doivent mettre à jour le plugin et régénérer les clés API pour éviter les usurpations. La négligence dans les mises à jour des extensions WordPress est un problème récurrent et critique.
4 millions de requêtes malveillantes en 24 heures
Public concerné : entreprises, développeurs
Que doivent faire les administrateurs de sites WordPress affectés par la faille Gravity SMTP ?
Les administrateurs doivent mettre à jour le plugin vers la version 2.1.5, révoquer les anciennes clés API chez leur fournisseur de mail et en générer de nouvelles pour sécuriser les envois.
