Gravity SMTP eklentisinde tespit edilen ve CVE-2026-4020 ile takip edilen bilgi ifşası açığı, CVSS 5.3 puanıyla orta seviyede değerlendirilmektedir. Açık, kimlik doğrulaması olmayan saldırganların yapılandırma verileri, API anahtarları, gizli dizeler ve OAuth tokenları gibi kritik hassas bilgileri çıkarmasına imkan tanımaktadır.
Kısa sürede yamalı versiyona yükseltilmesine rağmen, tehdit aktörleri zafiyeti aktif olarak istismar etmeye başlamıştır. Eklentinin yaygın kullanımı (100 bin civarında WordPress kurulumunda) ve açığın saldırganlar tarafından kolayca kullanılabilir olması, etkilenen site operatörleri için acil güvenlik tedbiri gerektirmektedir.
WordPress yöneticilerine Gravity SMTP eklentisini en kısa sürede en son güvenlik yamasına güncellemesi, etkilenen API anahtarlarını ve tokenlarını yeniden oluşturması, erişim günlüklerini incelemesi ve bileşik kimlik doğrulamayı etkinleştirmesi önerilmektedir.
