Аналітики Defiant зафіксували масовану хвилю атак на критичну вразливість CVE-2026-4020 у плагіні Gravity SMTP для сайтів на базі WordPress. Програма використовується на понад 100 000 вебресурсів для налаштування корпоративної пошти. Помилка виникла у відкритій точці REST API, де функція перевірки прав доступу завжди повертала позитивне значення. Через це анонімний віддалений користувач міг без паролів отримати системний звіт у форматі JSON, який містив ключі API та OAuth-токени для сервісів Amazon SES, Google, Mailjet, Resend і Zoho.

Бранмауери Wordfence зафіксували понад 17 мільйонів спроб сканування цієї прогалини за добу. Вразливими є всі версії до 2.1.4 включно, а дефект усунуто лише у релізі 2.1.5. Наслідки викрадення токенів мають руйнівний характер: хакери отримують змогу проводити масові фішингові розсилки та спам прямо з офіційних доменів атакованої компанії. Також витік детальної структури бази даних полегшує планування подальшого повного зламу сервера зловмисниками.