Une faille de sécurité dans l'extension Gravity SMTP expose les clés API de 100 000 sites WordPress

Une vulnérabilité critique affectant l'extension Gravity SMTP pour WordPress a permis à des attaquants de récupérer sans authentification les clés API et les jetons OAuth configurés sur environ 100 000 sites. Depuis le mois de mai, l'entreprise de sécurité Wordfence a recensé et bloqué plus de 17 millions de tentatives d'exploitation de cette faille, confirmant une campagne active visant à dérober ces informations sensibles.

Gravity SMTP est un plugin utilisé par les administrateurs de sites WordPress pour acheminer les courriels transactionnels et marketing via des services tiers tels qu'Amazon SES, Google, Mailjet, Resend ou Zoho. Installée sur un parc estimé à 100 000 sites, l'extension présentait un point d'accès non protégé, accessible à tout visiteur, capable de livrer en une seule requête l'ensemble des identifiants et des informations techniques du site.

Une exploitation massive et automatisée

Les chercheurs en sécurité ont observé que les pirates exploitent cette faille de manière automatisée, en envoyant des requêtes ciblant massivement les sites vulnérables. Les clés API ainsi dérobées peuvent ensuite être utilisées pour envoyer des courriels frauduleux en utilisant l'infrastructure légitime du site compromis, nuisant à sa réputation et facilitant des campagnes de hameçonnage. Les jetons OAuth, quant à eux, offrent un accès persistant aux services connectés, augmentant le risque de compromission étendue.

Réaction des éditeurs et correctif disponible

Face à cette menace, les développeurs de Gravity SMTP ont publié une mise à jour de sécurité corrigeant la vulnérabilité de divulgation d'informations. Les administrateurs de sites utilisant ce plugin sont invités à appliquer immédiatement la dernière version disponible pour neutraliser le risque. Il est également recommandé de révoquer et de renouveler les clés API et les jetons OAuth potentiellement exposés, même après l'installation du correctif.

Contexte et implications

Cette campagne s'inscrit dans une tendance plus large d'attaques ciblant les extensions WordPress tierces, dont la surface d'attaque est vaste en raison de la popularité de la plateforme. Le nombre élevé de tentatives bloquées — plus de 17 millions — témoigne de l'intérêt des cybercriminels pour ce type de données d'identification, qui permettent des actions malveillantes à grande échelle. Les experts recommandent aux propriétaires de sites de vérifier régulièrement les journaux d'accès et d'audit pour détecter toute activité suspecte, et de s'assurer que tous les plugins sont maintenus à jour.