Vulnerabilidade Crítica no Plugin WordPress Gravity SMTP Sendo Explorada por Hackers
Hackers estão ativamente explorando uma falha de segurança no plugin Gravity SMTP para WordPress, que afeta cerca de 100.000 sites. A vulnerabilidade permite o acesso não autenticado a credenciais sensíveis e informações de configuração do servidor.
MundiX News·25 de junho de 2026·4 min de leitura·👁 1 views
Hackers estão ativamente explorando uma vulnerabilidade de segurança no plugin Gravity SMTP para WordPress, um componente instalado em aproximadamente 100.000 sites. Essa falha permite que atacantes não autenticados obtenham acesso a chaves de API, tokens OAuth, credenciais de serviços de e-mail e detalhes de configuração do servidor. A vulnerabilidade, identificada como CVE-2026-4020 com uma pontuação CVSS de 5,3, afeta as versões 2.1.4 e anteriores do plugin. Os desenvolvedores do Gravity SMTP lançaram a versão 2.1.5 em março de 2026 para corrigir o problema.
O plugin Gravity SMTP é projetado para facilitar o envio e o rastreamento de e-mails através de serviços de terceiros, oferecendo integrações com provedores como Amazon SES, Google, Mailjet, Resend e Zoho. Especialistas da empresa Defiant relataram que um endpoint da API REST do plugin estava exposto a qualquer visitante. O manipulador permission_callback retornava true incondicionalmente, sem verificar a autenticação ou as permissões do usuário. Para explorar essa falha, os atacantes precisam apenas enviar uma requisição GET para o endpoint /wp-json/gravitysmtp/v1/tests/mock-data, anexando o parâmetro ?page=gravitysmtp-settings.
Após a requisição, o plugin gerava e retornava um objeto JSON de aproximadamente 365 KB contendo um relatório completo do sistema. Este relatório podia incluir a versão do PHP, informações sobre extensões carregadas, detalhes do servidor web e do banco de dados, o caminho absoluto do diretório raiz, a versão do WordPress, uma lista de plugins ativos e suas versões, o tema em uso, nomes de tabelas do banco de dados, além de chaves de API, segredos e tokens OAuth de integrações de e-mail. Com essas informações em mãos, os atacantes poderiam enviar e-mails em nome do site comprometido, personificando seus proprietários. Além disso, o detalhado relatório de configuração facilita a fase de reconhecimento, permitindo que os atacantes identifiquem o stack de software e explorem vulnerabilidades conhecidas para ataques subsequentes.
Embora a CVE-2026-4020 tenha recebido uma pontuação CVSS relativamente baixa, sua exploração não requer uma conta de usuário nem interação com o administrador do site. A fuga de chaves e tokens ativos pode levar à completa comprometimento dos serviços de e-mail de terceiros integrados. De acordo com analistas da Defiant, os ataques a essa vulnerabilidade começaram no início de maio de 2026. No início de junho, a atividade dos atacantes aumentou drasticamente, com as soluções de segurança da Wordfence bloqueando mais de 4 milhões de requisições em um único dia, totalizando mais de 17 milhões de tentativas de exploração bloqueadas.
Especialistas recomendam que os administradores de sites atualizem imediatamente o Gravity SMTP para a versão 2.1.5. Além disso, é crucial verificar os logs do servidor web em busca de acessos ao endpoint vulnerável, especialmente aqueles com o parâmetro ?page=gravitysmtp-settings. Se uma versão vulnerável do plugin foi utilizada e integrações de e-mail de terceiros estavam configuradas, as chaves de API, segredos e tokens OAuth associados devem ser considerados comprometidos e revogados imediatamente.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Hackers estão ativamente explorando uma vulnerabilidade de segurança no plugin Gravity SMTP para WordPress, um componente instalado em aproximadamente 100.000 sites. Essa falha permite que atacantes não autenticados obtenham acesso a chaves de API, tokens OAuth, credenciais de serviços de e-mail e detalhes de configuração do servidor. A vulnerabilidade, identificada como CVE-2026-4020 com uma pontuação CVSS de 5,3, afeta as versões 2.1.4 e anteriores do plugin. Os desenvolvedores do Gravity SMTP lançaram a versão 2.1.5 em março de 2026 para corrigir o problema.
O plugin Gravity SMTP é projetado para facilitar o envio e o rastreamento de e-mails através de serviços de terceiros, oferecendo integrações com provedores como Amazon SES, Google, Mailjet, Resend e Zoho. Especialistas da empresa Defiant relataram que um endpoint da API REST do plugin estava exposto a qualquer visitante. O manipulador permission_callback retornava true incondicionalmente, sem verificar a autenticação ou as permissões do usuário. Para explorar essa falha, os atacantes precisam apenas enviar uma requisição GET para o endpoint /wp-json/gravitysmtp/v1/tests/mock-data, anexando o parâmetro ?page=gravitysmtp-settings.
Após a requisição, o plugin gerava e retornava um objeto JSON de aproximadamente 365 KB contendo um relatório completo do sistema. Este relatório podia incluir a versão do PHP, informações sobre extensões carregadas, detalhes do servidor web e do banco de dados, o caminho absoluto do diretório raiz, a versão do WordPress, uma lista de plugins ativos e suas versões, o tema em uso, nomes de tabelas do banco de dados, além de chaves de API, segredos e tokens OAuth de integrações de e-mail. Com essas informações em mãos, os atacantes poderiam enviar e-mails em nome do site comprometido, personificando seus proprietários. Além disso, o detalhado relatório de configuração facilita a fase de reconhecimento, permitindo que os atacantes identifiquem o stack de software e explorem vulnerabilidades conhecidas para ataques subsequentes.
Embora a CVE-2026-4020 tenha recebido uma pontuação CVSS relativamente baixa, sua exploração não requer uma conta de usuário nem interação com o administrador do site. A fuga de chaves e tokens ativos pode levar à completa comprometimento dos serviços de e-mail de terceiros integrados. De acordo com analistas da Defiant, os ataques a essa vulnerabilidade começaram no início de maio de 2026. No início de junho, a atividade dos atacantes aumentou drasticamente, com as soluções de segurança da Wordfence bloqueando mais de 4 milhões de requisições em um único dia, totalizando mais de 17 milhões de tentativas de exploração bloqueadas.
Especialistas recomendam que os administradores de sites atualizem imediatamente o Gravity SMTP para a versão 2.1.5. Além disso, é crucial verificar os logs do servidor web em busca de acessos ao endpoint vulnerável, especialmente aqueles com o parâmetro ?page=gravitysmtp-settings. Se uma versão vulnerável do plugin foi utilizada e integrações de e-mail de terceiros estavam configuradas, as chaves de API, segredos e tokens OAuth associados devem ser considerados comprometidos e revogados imediatamente.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
