Uma vulnerabilidade recém-descoberta no plugin Gravity SMTP para WordPress, rastreada como CVE-2026-4020, permitiu que atacantes obtivessem acesso a informações confidenciais sem a necessidade de login. A falha, com um score CVSS 3.1 de 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N), possibilita a extração de dados sensíveis das configurações de integração de e-mail, como chaves de API e tokens de autenticação.
O plugin Gravity SMTP é utilizado por aproximadamente 100 mil sites WordPress para gerenciar o envio de e-mails através de serviços de terceiros, incluindo Amazon SES, Google, Mailjet, Resend e Zoho. Embora a pontuação de severidade não seja a máxima, o impacto real da exploração depende diretamente das credenciais e chaves armazenadas nas configurações de cada site. A técnica de ataque explorava um endpoint da API REST do plugin, especificamente /wp-json/gravitysmtp/v1/tests/mock-data, que aceitava requisições de qualquer visitante. Ao adicionar o parâmetro ?page=gravitysmtp-settings, o servidor retornava um arquivo JSON contendo um relatório de sistema detalhado. Este relatório podia incluir versões do PHP, WordPress e servidor web, lista de plugins ativos, tema, parâmetros do banco de dados e, crucialmente, as credenciais de serviços de e-mail.
Embora essa fuga de dados não conceda controle direto sobre o site, ela simplifica significativamente a preparação para ataques subsequentes. As chaves de API obtidas podem ser usadas para enviar e-mails em nome do site através dos serviços de e-mail conectados, enquanto o relatório detalhado sobre o ambiente de software auxilia os atacantes a identificar e explorar outras vulnerabilidades. A Wordfence, uma empresa de segurança para WordPress, relatou ter bloqueado mais de 17 milhões de tentativas de exploração da CVE-2026-4020. A atividade maliciosa foi detectada pela primeira vez no início de maio de 2026, com um aumento acentuado a partir de 6 de junho, ultrapassando 4 milhões de requisições em um único dia. Os atacantes estavam enviando requisições HTTP GET para o endpoint vulnerável da API REST, obtendo os dados sem qualquer verificação de autenticação.
Os desenvolvedores do Gravity SMTP já lançaram uma correção para a vulnerabilidade na versão 2.1.5 do plugin. Proprietários de sites que utilizam versões vulneráveis e serviços de e-mail de terceiros são fortemente recomendados a atualizar o plugin imediatamente. Além disso, é crucial substituir todas as chaves de API e tokens de autenticação comprometidos. Recomenda-se também a verificação dos logs do servidor em busca de requisições suspeitas para o endpoint de API mencionado e de acessos provenientes dos endereços IP listados pela Wordfence para mitigar quaisquer riscos remanescentes.
