Los actores de amenazas están explotando una falla de seguridad recientemente reparada que afecta a Gravity SMTP, un complemento de WordPress instalado en aproximadamente 100.000 sitios.
Esta vulnerabilidad, rastreada como CVE-2026-4020 (puntaje CVSS: 5.3), es una falla de divulgación de información de gravedad media que podría permitir a un atacante no autenticado extraer datos confidenciales, como datos de configuración, claves API, secretos y tokens OAuth configurados para la integración de correo electrónico del complemento.
«Esto se debe a un punto final API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data con un permiso_callback que devuelve verdadero incondicionalmente, haciéndolo accesible a visitantes no autenticados», dijo Wordfence.
Una vez que se agrega el parámetro de consulta ?page=gravitysmtp-settings, el método Register_connector_data() del complemento establece los datos del conector interno y el punto final devuelve aproximadamente 365 KB de JSON que contiene el informe completo del sistema.
Como resultado, un atacante no autenticado podría utilizar este problema como arma para obtener una amplia variedad de información, que incluye:
Versión de PHP Extensiones cargadas Versión del servidor web Ruta raíz del documento Tipo y versión del servidor de base de datos Versión de WordPress Todos los complementos activos con versiones Temas activos Detalles de configuración de WordPress Nombres de las tablas de la base de datos Claves/tokens API configurados en el complemento (Amazon SES, Google, Mailjet, Resend, Zoho, etc.)
Un atacante podría utilizar esta exposición para recopilar credenciales que puedan explotarse para enviar correo electrónico en nombre de un sitio, o para recopilar detalles extensos de la pila de software de un sitio que podrían servir como base para un ataque posterior.
«Como ocurre con todas las vulnerabilidades de divulgación de información confidencial, el impacto depende de los datos que estén expuestos», añadió Wordfence. «En este caso, exponer las credenciales API de terceros activas significa que un atacante podría explotar el servicio de correo electrónico conectado al sitio, pero los informes detallados del sistema reducen en gran medida el esfuerzo necesario para planificar futuros ataques contra el sitio».
Se lanzó un parche para esta vulnerabilidad en la versión 2.1.5 del complemento. Los atacantes maliciosos ya han aprovechado esta falla enviando solicitudes HTTP GET no autenticadas a puntos finales vulnerables de la API REST utilizando el parámetro de consulta «?page=gravitysmtp-settings», lo que hace que el servidor devuelva información valiosa sobre el sitio sin requerir autenticación.
Wordfence ha bloqueado más de 17 millones de intentos de explotación dirigidos a CVE-2026-4020 hasta la fecha. La actividad inicial comenzó a principios de mayo de 2026 y aumentó drásticamente alrededor del 6 de junio de 2026, alcanzando un máximo de más de 4 millones de solicitudes un día después. El esfuerzo de explotación se lanzó desde las siguientes direcciones IP:
45.148.10.95 193.32.162.60 176.65.148.139 173.199.90.188 45.148.10.120 185.8.107.155 185.8.106.37 185.8.106.92 185.8.106.145 176.65.148.30
Los propietarios de sitios que ejecutan versiones vulnerables del complemento Gravity SMTP y configuran integraciones de correo electrónico de terceros deben anticipar una infracción, actualizar el complemento a la última versión lo antes posible y luego rotar sus credenciales. También le recomendamos que revise los archivos de registro de su servidor en busca de solicitudes que se originen en las direcciones IP antes mencionadas para detectar solicitudes sospechosas a sus puntos finales API.
Source link
