漏洞编号 CVE-2026-4020,是一个中危(CVSS 5.3)信息泄露漏洞。问题的根子很典型:插件里有一个接口默认对所有人放行——它的权限检查无条件返回"通过",于是任何未登录的访客都能访问。访问它时,插件会吐出大约 365KB 的系统报告,里面就包含了为邮件功能配置的 API 密钥、各种密钥和 OAuth 令牌。

发生了什么
一个接口没设防。这是漏洞的核心:本该校验身份的地方形同虚设,等于把一扇本该上锁的门一直敞着。吐出敏感信息。透过这扇门,攻击者能拿到那份系统报告里的密钥和令牌——而这些,往往是进一步入侵的钥匙:有了邮件服务的密钥,就可能冒用你的站点发信;有了其他凭据,就可能撬动更多系统。已在被利用。这不是纸上谈兵的风险,安全机构已观测到针对该漏洞的实际攻击,所以更新这事拖不得。

站长该做的
立刻更新插件。把 Gravity SMTP 升级到官方已修复的版本,这是第一步,也是最直接的一步。轮换泄露的密钥。更关键的是:既然这份报告可能已经被人读走,就把里面所有可能暴露的东西都当成已泄露处理——重置邮件服务的 API 密钥、相关的 OAuth 令牌和密码。光打补丁、不换钥匙,等于锁了门却没换被配走的钥匙。查访问日志。回看那个接口近期有没有被异常访问,判断你的密钥到底有没有已经被读取——如果有迹象,按数据泄露来应急。

🦐 虾米判断
这个漏洞本身不算多复杂,但它代表了一类极常见、又极容易被忽视的风险:你网站的安全,不只取决于你自己,还取决于你装的每一个插件。WordPress 生态里插件成千上万,装一个很容易,但每装一个,你就把一部分信任交给了它的开发者——它的代码有没有漏洞、出了问题修不修得快,都直接关系到你。这次"一个接口忘了设防"的低级错误,就足以让 10 万个网站的密钥暴露。
对站长,这里有两条很实在的提醒。第一,插件要"精",不要"多":只装真正需要的,定期清理不用的,每一个都及时更新——装得越杂,暴露面越大。第二,也是这次最该记住的——密钥和令牌别只存不换:一旦某个环节可能泄露,第一反应应该是"轮换",而不只是"打补丁"。这和我们之前聊供应链投毒时是同一个道理:在一个高度依赖第三方组件的时代,你的安全边界,早就延伸到了你装的每一个插件、用的每一个工具上。守好自己的同时,也得管好你请进门的"帮手"。
把这篇转给做网站、管 WordPress 的朋友。用 Gravity SMTP 的话,今天就更新、顺手换掉密钥。关注虾米数码,这些"插件里的漏洞",我们替你留意、讲明白。
数据来源
报道/研究:The Hacker News 引 Wordfence(CVE-2026-4020,CVSS 5.3,Gravity SMTP 插件 /wp-json/gravitysmtp/v1/tests/mock-data 接口 permission_callback 无条件返回 true,未授权可获取约 365KB 含 API 密钥/密钥/OAuth 令牌的系统报告;约 10 万站安装;正被在野利用)缓解:更新到官方修复版本、轮换可能泄露的密钥与令牌、排查接口异常访问
注:本文聚焦风险与缓解,不含任何可复现的利用细节
夜雨聆风