WordPress sitelerinde e-posta trafiğini yöneten popüler Gravity SMTP eklentisinde, sitelerin API anahtarlarını savunmasız bırakan kritik bir güvenlik açığı tespit edildi. Tehlikenin boyutunu ise açıklanan veriler ortaya koyuyor. Zafiyetin keşfedilmesinin ardından yalnızca birkaç gün içerisinde 17 milyondan fazla saldırı girişimi kaydedildi.
Gravity SMTP Eklentisi Nedir?
Gravity SMTP, WordPress sitelerinin e-posta gönderim süreçlerini optimize etmek için kullanılan bir eklenti olarak öne çıkıyor. Kullanıcı kayıtları, parola sıfırlama işlemleri ve bülten gönderimleri gibi kritik e-posta trafiğini yönetiyor. Ayrıca Amazon SES, Google ve Mailjet gibi popüler servis sağlayıcılarıyla entegrasyon sağlayarak e-postaların güvenli ve hızlı şekilde teslim edilmesine yardımcı oluyor.
Zafiyetin Perde Arkası: CVE-2026-4020
Gravity SMTP’nin 2.1.4 ve daha eski tüm sürümlerini etkileyen güvenlik açığı, CVE-2026-4020 olarak tanımlandı. Açığın en kritik tarafı ise herhangi bir kimlik doğrulaması gerektirmemesi. Bu durum, siber saldırganların siteye giriş yapmadan hassas verilere erişebilmesine olanak tanıyor.
Saldırı Ölçeği Büyüyor
Zafiyetin ortaya çıkmasının ardından istismar girişimleri de hızla artış gösterdi. Güvenlik şirketi Wordfence, bu açığı hedef alan 17 milyondan fazla saldırı girişimini engellediğini açıkladı. Haziran ayının ilk haftasında ise yalnızca bir gün içerisinde 4 milyondan fazla saldırı girişimi kaydedildi. Açığın duyurulmasının hemen ardından saldırganların hızlı şekilde harekete geçtiği görülüyor.
Teknik Detay: Hatalı REST API Yapılandırması
Peki bu kadar yoğun saldırı girişimini mümkün kılan ne?
Sorunun kaynağı, eklentinin REST API uç noktalarından birinin hatalı yapılandırılması. Normal şartlarda API erişiminde kullanıcı yetkilendirmesinin kontrol edilmesi gerekiyor. Ancak /wp-json/gravitysmtp/v1/tests/mock-data adresinde bu kontrol tamamen atlanmış durumda.
Eklenti kodunda yer alan permission_callback fonksiyonu her zaman true değeri döndürerek bu uç noktayı herkese açık hale getiriyor.
Tehdit aktörleri ise basit bir GET isteği göndererek bu güvenlik açığını istismar edebiliyor.
/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings
Bu adrese yapılan istek, eklentinin dahili sistemini tetikliyor ve sitenin yapılandırma verilerini bir “Sistem Raporu” şeklinde dışarı sızdırıyor.
Açığa Çıkan Veriler ve Olası Riskler
Sızdırılan Sistem Raporu, site güvenliği açısından kritik öneme sahip veriler içeriyor. Bunların başında:
- API anahtarları
- Kimlik doğrulama bilgileri
- Sistem yapılandırma verileri
yer alıyor.
Bu verileri elde eden tehdit aktörleri:
- Site adına spam veya kimlik avı (phishing) e-postaları gönderebilir,
- Sitenin teknik altyapısını analiz ederek daha kapsamlı saldırılar planlayabilir,
- Veri ihlali ve itibar kaybına yol açabilecek ciddi güvenlik riskleri oluşturabilir.
WordPress Siteleri Nasıl Korunmalı?
Bu güvenlik açığından korunmak için aşağıdaki adımların uygulanması öneriliyor:
- Gravity SMTP eklentisini 2.1.5 veya daha yeni sürüme güncelleyin.
- Güvensiz sürüm kullandıysanız tüm API anahtarlarını değiştirin.
- Sunucu loglarında şüpheli istek veya olağan dışı trafik olup olmadığını kontrol edin.
- Düzenli yedekleme yapın, güvenilir eklentiler tercih edin ve yalnızca gerekli yetkilendirmeleri uygulayın.
Gravity SMTP vakası, basit bir kodlama hatasının milyonlarca WordPress sitesini nasıl riske atabileceğini açık şekilde gösteriyor. WordPress eklentilerini güncel tutmak ve düzenli güvenlik kontrolleri yapmak, küçük görünen açıkların büyük güvenlik risklerine dönüşmesini engellemenin en etkili yollarından biri olarak görülüyor