แฮ็กเกอร์เร่งโจมตีปลั๊กอิน Gravity SMTP บน WordPress — ช่องโหว่ CVE-2026-4020 เปิดเผย API Key กว่าแสนเว็บ

แฮ็กเกอร์กำลังเร่งโจมตีช่องโหว่ CVE-2026-4020 (CVSS 5.3) ในปลั๊กอิน Gravity SMTP บน WordPress ที่ติดตั้งราว 100,000 เว็บ ช่องโหว่ระดับกลางประเภท information disclosure เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนดึง System Report กว่า 365 KB รวมถึง API key ของ Amazon SES, Google, Mailjet, Resend, Zoho ผ่าน REST API endpoint ที่ permission_callback คืนค่า true เสมอ Wordfence บล็อกความพยายามโจมตีไปแล้วกว่า 17 ล้านครั้ง แพตช์อยู่ในเวอร์ชัน 2.1.5
