สรุปสั้น

ผู้ก่อภัยคุกคามกำลังเร่งใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่เพิ่งได้รับการแพตช์ซึ่งกระทบ Gravity SMTP ปลั๊กอินบน WordPress ที่ติดตั้งอยู่บนเว็บไซต์ราว 100,000 แห่ง ช่องโหว่นี้ถูกติดตามในชื่อ CVE-2026-4020 (คะแนน CVSS 5.3) เป็นช่องโหว่ระดับความรุนแรงปานกลางประเภทเปิดเผยข้อมูล (information disclosure) ที่เปิดทางให้ผู้โจมตีซึ่งไม่ต้องผ่านการยืนยันตัวตน (unauthenticated) สามารถดึงข้อมูลละเอียดอ่อนออกมาได้ เช่น ข้อมูลการตั้งค่า API key ความลับ และ OAuth token ที่กำหนดไว้สำหรับการเชื่อมต่ออีเมลของปลั๊กอิน บริษัท Wordfence อธิบายว่าสาเหตุมาจาก REST API endpoint ที่ลงทะเบียนไว้ที่ /wp-json/gravitysmtp/v1/tests/mock-data ซึ่งมี permission_callback ที่คืนค่า true อย่างไม่มีเงื่อนไข ทำให้ผู้เยี่ยมชมที่ไม่ผ่านการยืนยันตัวตนคนใดก็เข้าถึงได้

เมื่อเพิ่มพารามิเตอร์ ?page=gravitysmtp-settings เข้าไป เมท็อด register_connector_data() ของปลั๊กอินจะดึงข้อมูล connector ภายในออกมา ทำให้ endpoint คืนค่า JSON ขนาดราว 365 KB ที่มี System Report ฉบับเต็ม ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนจึงสามารถนำช่องโหว่นี้มาใช้ดึงข้อมูลได้หลากหลาย ตั้งแต่เวอร์ชัน PHP เวอร์ชันเว็บเซิร์ฟเวอร์ ชนิดและเวอร์ชันฐานข้อมูล รายชื่อปลั๊กอินที่ทำงานอยู่ทั้งหมด ไปจนถึง API key/token ที่ตั้งค่าไว้ในปลั๊กอิน บริษัท Wordfence บล็อกความพยายามโจมตี CVE-2026-4020 ไปแล้วกว่า 17 ล้านครั้ง โดยแพตช์อยู่ในเวอร์ชัน 2.1.5 ของปลั๊กอิน

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 20 มิถุนายน 2569 ว่าผู้ก่อภัยคุกคามกำลังใช้ประโยชน์จากช่องโหว่ที่เพิ่งแพตช์ในปลั๊กอิน Gravity SMTP บน WordPress ซึ่งติดตั้งอยู่ราว 100,000 เว็บไซต์ ช่องโหว่ CVE-2026-4020 เป็นประเภท information disclosure ที่เปิดให้ผู้โจมตีไม่ต้องยืนยันตัวตนสามารถดึงข้อมูลการตั้งค่า API key ความลับ และ OAuth token ที่ตั้งค่าไว้สำหรับการเชื่อมต่ออีเมลของปลั๊กอินออกมาได้

บริษัท Wordfence ระบุว่าต้นเหตุอยู่ที่ REST API endpoint /wp-json/gravitysmtp/v1/tests/mock-data ที่มี permission_callback คืนค่า true อย่างไม่มีเงื่อนไข เมื่อต่อท้ายด้วยพารามิเตอร์ ?page=gravitysmtp-settings เมท็อด register_connector_data() จะดึงข้อมูล connector ภายในออกมา ทำให้ endpoint คืน JSON ขนาดราว 365 KB ที่มี System Report ฉบับเต็ม ผลคือผู้โจมตีสามารถนำช่องโหว่นี้ไปดึงข้อมูลได้กว้างขวาง ทั้ง PHP version, extension ที่โหลดอยู่, เวอร์ชันเว็บเซิร์ฟเวอร์, document root path, ชนิดและเวอร์ชันฐานข้อมูล, เวอร์ชัน WordPress, ปลั๊กอินที่ active ทั้งหมดพร้อมเวอร์ชัน, ธีมที่ใช้, รายละเอียดการตั้งค่า WordPress, ชื่อตารางฐานข้อมูล ตลอดจน API key/token ในปลั๊กอิน เช่น Amazon SES, Google, Mailjet, Resend และ Zoho จากนั้นผู้โจมตีสามารถใช้ข้อมูลที่รั่วไหลนี้เก็บเกี่ยว credential เพื่อส่งอีเมลในนามของเว็บไซต์ และรวบรวมรายละเอียด software stack ของเว็บเพื่อใช้เป็นฐานในการโจมตีต่อเนื่อง

รายละเอียดช่องโหว่

บริษัท Wordfence อธิบายว่าผลกระทบของช่องโหว่ประเภทเปิดเผยข้อมูลละเอียดอ่อนขึ้นอยู่กับว่าข้อมูลอะไรถูกเปิดเผย ในกรณีนี้การเปิดเผย credential ของ API บุคคลที่สามที่ใช้งานจริง หมายความว่าผู้โจมตีสามารถนำบริการอีเมลที่เว็บไซต์เชื่อมต่ออยู่ไปใช้ในทางที่ผิด ขณะที่ System Report ที่ละเอียดก็ช่วยลดความพยายามที่จำเป็นในการวางแผนโจมตีเว็บไซต์เพิ่มเติมลงอย่างมาก

แพตช์สำหรับช่องโหว่นี้ถูกปล่อยในเวอร์ชัน 2.1.5 ของปลั๊กอิน แต่ผู้ไม่หวังดีได้ลงมือโจมตีไปแล้วด้วยการส่ง HTTP GET request แบบไม่ผ่านการยืนยันตัวตนไปยัง REST API endpoint ที่มีช่องโหว่ พร้อมพารามิเตอร์ ?page=gravitysmtp-settings ทำให้เซิร์ฟเวอร์คืนข้อมูลที่มีค่าเกี่ยวกับเว็บไซต์ออกมาโดยไม่ต้องยืนยันตัวตน บริษัท Wordfence บล็อกความพยายามโจมตี CVE-2026-4020 ไปแล้วกว่า 17 ล้านครั้ง โดยกิจกรรมเริ่มต้นตั้งแต่ต้นเดือนพฤษภาคม 2569 ก่อนพุ่งสูงขึ้นอย่างมากในช่วงราววันที่ 6 มิถุนายน 2569 และแตะระดับสูงสุดกว่า 4,000,000 request ต่อวันในวันถัดมา

ผลกระทบต่อไทย

WordPress เป็นแพลตฟอร์มเว็บไซต์ที่ได้รับความนิยมสูงมากในไทย ทั้งเว็บข่าว เว็บองค์กร ร้านค้าออนไลน์ และหน่วยงานต่าง ๆ ปลั๊กอินด้านการส่งอีเมลอย่าง SMTP เป็นส่วนเสริมที่ใช้กันแพร่หลายเพื่อให้เว็บส่งอีเมลแจ้งเตือนและธุรกรรมได้น่าเชื่อถือ เว็บไซต์ไทยที่ใช้ Gravity SMTP และตั้งค่าเชื่อมต่อบริการอีเมลบุคคลที่สาม เช่น Amazon SES หรือ Google จึงเสี่ยงที่ API key และ credential จะถูกดึงออกไปโดยผู้โจมตีที่ไม่ต้องยืนยันตัวตน ซึ่งอาจถูกนำไปส่งอีเมลปลอม สแปม หรือฟิชชิงในนามของเว็บไซต์ สร้างความเสียหายต่อชื่อเสียงและความน่าเชื่อถือของโดเมน อีกทั้ง System Report ที่รั่วยังเปิดเผยโครงสร้างระบบให้ผู้โจมตีวางแผนเจาะต่อได้ง่ายขึ้น

คำแนะนำ

เจ้าของเว็บไซต์ที่ใช้ Gravity SMTP เวอร์ชันที่มีช่องโหว่และตั้งค่าเชื่อมต่อบริการอีเมลบุคคลที่สามไว้ ควรถือว่าระบบถูกบุกรุกแล้ว (assume compromise) และหลังอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด (2.1.5 ขึ้นไป) โดยเร็วที่สุด ควรหมุนเปลี่ยน (rotate) credential และ API key ทั้งหมดทันที นอกจากนี้ควรตรวจสอบไฟล์ log ของเซิร์ฟเวอร์เพื่อหา request ที่มาจากที่อยู่ IP ในรายการ IoCs ด้านล่าง และ request ที่น่าสงสัยไปยัง API endpoint ที่มีช่องโหว่ ควรพิจารณาใช้ Web Application Firewall (WAF) เพื่อช่วยสกัดการโจมตี และทบทวนสิทธิ์การเข้าถึงของบริการอีเมลที่เชื่อมต่อกับเว็บ

Indicators of Compromise (IoCs)

Indicatorประเภทคำอธิบาย
45.148.10.95IPต้นทางความพยายามโจมตี CVE-2026-4020
193.32.162.60IPต้นทางความพยายามโจมตี
176.65.148.139IPต้นทางความพยายามโจมตี
173.199.90.188IPต้นทางความพยายามโจมตี
45.148.10.120IPต้นทางความพยายามโจมตี
185.8.107.155IPต้นทางความพยายามโจมตี
185.8.106.37IPต้นทางความพยายามโจมตี
185.8.106.92IPต้นทางความพยายามโจมตี
185.8.106.145IPต้นทางความพยายามโจมตี
176.65.148.30IPต้นทางความพยายามโจมตี
/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settingsURIendpoint ที่ถูกโจมตีดึง System Report

แหล่งอ้างอิง