ช่องโหว่ Gravity SMTP ปลั๊กอิน WordPress เปิดเผย API Key ต้องอัปเดตด่วน

Gravity SMTP ปลั๊กอินของ WordPress ที่ใช้สำหรับส่งอีเมลผ่านเซิร์ฟเวอร์ SMTP ถูกตรวจพบช่องโหว่ที่สามารถให้ผู้ไม่ประสงค์ดีดึงข้อมูลสำคัญออกมาได้โดยไม่ต้องยืนยันตัวตน การโจมตีนี้ได้รับการแก้ไขแล้วแต่ยังคงเป็นความเสี่ยงต่อเว็บไซต์ประมาณ 100,000 แห่งที่ใช้ปลั๊กอินนี้

Overview

ปลั๊กอิน Gravity SMTP เป็นส่วนเสริมของ WordPress ที่ช่วยให้ผู้ดูแลเว็บไซต์ตั้งค่าการส่งอีเมลผ่านเซิร์ฟเวอร์ SMTP ภายนอกได้อย่างง่ายดาย เนื่องจากการส่งอีเมลจากเซิร์ฟเวอร์ของโฮสต์อาจถูกจำกัดหรือถูกมองว่าเป็นสแปม การใช้ปลั๊กอินนี้จึงเป็นที่นิยมในหลายเว็บไซต์ รวมถึงธุรกิจขนาดเล็กและกลาง

ช่องโหว่ที่พบได้รับการบันทึกเป็น CVE‑2026‑4020 โดยมีคะแนนความรุนแรง CVSS 5.3 ซึ่งจัดอยู่ในระดับกลาง ช่องโหว่นี้เป็นประเภท information disclosure ที่ทำให้ผู้โจมตีที่ไม่มีสิทธิ์เข้าสู่ระบบสามารถดึงข้อมูลการกำหนดค่า ปลั๊กอิน API key, secret key, และ OAuth token ออกมาได้

Key Details

ตามรายงานของ The Hacker News ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะในช่วงต้นเดือนมิถุนายน 2026 โดยผู้วิจัยด้านความปลอดภัยพบว่า endpoint ของปลั๊กอินสามารถตอบสนองคำขอ HTTP ที่ไม่ได้รับการตรวจสอบและส่งคืนไฟล์ JSON ที่มีข้อมูลการตั้งค่าภายใน

• **CVE ID: CVE‑2026‑4020
• **CVSS score: 5.3 (Medium)
• **Impact: การเปิดเผยข้อมูลสำคัญเช่น API keys, secrets, OAuth tokens
• Affected installations: ประมาณ 100,000** เว็บไซต์ WordPress ที่ติดตั้ง Gravity SMTP

การแก้ไข (patch) ถูกปล่อยออกมาทันทีหลังจากการเปิดเผยช่องโหว่ ผู้พัฒนาได้อัปเดตเวอร์ชันของปลั๊กอินและแนะนำให้ผู้ใช้ทำการอัปเดตโดยด่วน

Technical Explanation

ช่องโหว่เกิดจากการจัดการคำขอที่ไม่ได้ตรวจสอบสิทธิ์บนไฟล์ `config.json` ของปลั๊กอิน ซึ่งไฟล์นี้เก็บข้อมูลการเชื่อมต่อ SMTP รวมถึงคีย์ API ของผู้ให้บริการอีเมลภายนอก การที่ endpoint สามารถตอบสนองต่อคำขอ GET แบบไม่มีการตรวจสอบทำให้ผู้โจมตีสามารถดึงไฟล์ดังกล่าวได้

โค้ดที่เกี่ยวข้องไม่ได้มีการตรวจสอบ token หรือ session ก่อนให้เข้าถึงไฟล์ ทำให้แม้ผู้โจมตีไม่มีบัญชีผู้ใช้ในเว็บไซต์ก็สามารถเรียกดูข้อมูลได้ การเปิดเผยคีย์เหล่านี้อาจทำให้ผู้โจมตีส่งอีเมลโดยอัตโนมัติหรือใช้บริการของผู้ให้บริการ SMTP เพื่อทำกิจกรรมที่เป็นอันตรายต่อผู้ใช้ปลายทาง

Impact Assessment

แม้คะแนน CVSS จะอยู่ในระดับกลาง แต่ผลกระทบต่อเว็บไซต์ที่ใช้ปลั๊กอินนี้อาจรุนแรง เนื่องจากข้อมูลที่ถูกเปิดเผยเป็น คีย์ลับ ที่ใช้เชื่อมต่อกับบริการอีเมลของผู้ให้บริการภายนอก หากคีย์เหล่านี้ถูกนำไปใช้โดยผู้ไม่ประสงค์ดี สามารถทำให้เกิดการส่งสแปม, ฟิชชิง, หรือแม้กระทั่งการทำลายชื่อเสียงขององค์กร

สำหรับเว็บไซต์ที่ใช้บริการอีเมลจากผู้ให้บริการคลาวด์ เช่น SendGrid, Mailgun หรือ Amazon SES การสูญเสีย API key อาจทำให้ต้องรีเซ็ตคีย์ทั้งหมดและอาจมีค่าใช้จ่ายเพิ่มเติมในการตรวจสอบและกู้คืนความปลอดภัยของระบบ

Mitigation & Recommendations

ผู้ดูแลเว็บไซต์ควรดำเนินการตามขั้นตอนต่อไปนี้โดยเร็ว:

• ตรวจสอบให้แน่ใจว่า อัปเดตปลั๊กอิน Gravity SMTP เป็นเวอร์ชันล่าสุดที่มีการแก้ไขช่องโหว่
• หากไม่สามารถอัปเดตได้ในทันที ควร ปิดการใช้งานปลั๊กอิน หรือ ลบไฟล์ config.json ที่เก็บคีย์ลับออกจากเซิร์ฟเวอร์
• ทำการ รีเซ็ต API key, secret key, และ OAuth token ที่เคยใช้กับปลั๊กอินเพื่อป้องกันการใช้งานโดยไม่ได้รับอนุญาต
• ตรวจสอบบันทึกการเข้าถึง (access logs) เพื่อตรวจหาอาการเรียกดูไฟล์ config ที่อาจเป็นสัญญาณของการโจมตี

การเพิ่มระดับการตรวจสอบสิทธิ์บน endpoint ที่เกี่ยวข้องกับการตั้งค่าเป็นแนวทางป้องกันระยะยาวที่ผู้พัฒนาปลั๊กอินควรพิจารณาเพื่อป้องกันเหตุการณ์คล้ายคลึงในอนาคต

Industry Context

ช่องโหว่ที่เกี่ยวข้องกับการเปิดเผยข้อมูลการกำหนดค่าเป็นหนึ่งในรูปแบบการโจมตีที่พบบ่อยในระบบ CMS อย่าง WordPress เนื่องจากปลั๊กอินจำนวนมากจัดเก็บข้อมูลสำคัญในไฟล์ที่เข้าถึงได้ผ่านเว็บเซิร์ฟเวอร์ การตรวจสอบและอัปเดตปลั๊กอินอย่างสม่ำเสมอจึงเป็นส่วนสำคัญของแนวปฏิบัติด้านความปลอดภัย

นอกจากนี้ การใช้ การจัดการคีย์อย่างปลอดภัย (เช่น การเก็บคีย์ในระบบจัดการความลับหรือใช้ environment variables) สามารถลดความเสี่ยงจากการเปิดเผยคีย์ในไฟล์คอนฟิกได้อย่างมีประสิทธิภาพ

Summary

ช่องโหว่ CVE‑2026‑4020 ของปลั๊กอิน Gravity SMTP ทำให้ผู้โจมตีสามารถดึงข้อมูลสำคัญจากเว็บไซต์ WordPress ได้โดยไม่มีการตรวจสอบสิทธิ์ การอัปเดตปลั๊กอินและการรีเซ็ตคีย์ที่เกี่ยวข้องเป็นขั้นตอนเร่งด่วนที่ควรทำเพื่อป้องกันผลกระทบต่อระบบและข้อมูลของผู้ใช้.