Los actores de amenazas están explotando una falla de seguridad recientemente reparada que afecta a Gravity SMTP, un complemento de WordPress que está instalado en alrededor de 100.000 sitios.
La vulnerabilidad, rastreada como CVE-2026-4020 (Puntuación CVSS: 5,3), es una falla de divulgación de información de gravedad media que puede permitir a atacantes no autenticados extraer datos confidenciales, como datos de configuración, claves API, secretos y tokens OAuth configurados para las integraciones de correo electrónico del complemento.
“Esto se debe a un punto final de API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data con un permiso_callback que incondicionalmente devuelve verdadero, permitiendo que cualquier visitante no autenticado acceda a él”, dijo Wordfence.
“Cuando se agrega el parámetro de consulta ?page=gravitysmtp-settings, el método Register_connector_data() del complemento completa los datos del conector interno, lo que hace que el punto final devuelva aproximadamente 365 KB de JSON que contiene el informe completo del sistema”.
Como resultado, un atacante no autenticado puede utilizar este problema como arma para recuperar una amplia gama de información, que incluye:
- versión PHP
- Extensiones cargadas
- Versión del servidor web
- Ruta raíz del documento
- Tipo y versión del servidor de base de datos
- Versión de WordPress
- Todos los complementos activos con versiones.
- Tema activo
- Detalles de configuración de WordPress
- Nombres de tablas de base de datos
- Claves/tokens API configurados en el complemento, como Amazon SES, Google, Mailjet, Resend y Zoho
Luego, los atacantes podrían aprovechar esta exposición para recopilar credenciales que podrían usarse de forma abusiva para enviar correos electrónicos en nombre del sitio, así como obtener detalles extensos de la pila de software del sitio, que podría actuar como base para ataques posteriores.
“Como ocurre con todas las vulnerabilidades de exposición de información confidencial, el impacto depende de los datos que estén expuestos”, añadió Wordfence. “En este caso, la exposición de credenciales API de terceros en vivo significa que un atacante podría abusar de los servicios de correo electrónico conectados al sitio, mientras que el informe detallado del sistema reduce significativamente el esfuerzo requerido para planificar futuros ataques contra el sitio”.
Se lanzó un parche para la vulnerabilidad en la versión 2.1.5 del complemento. Los malos actores ya se han aprovechado del defecto enviando solicitudes HTTP GET no autenticadas al punto final vulnerable de la API REST con el parámetro de consulta “?page=gravitysmtp-settings”, lo que hace que el servidor devuelva información valiosa sobre el sitio sin requerir ninguna autenticación.
Wordfence ha bloqueado más de 17 millones de intentos de explotación dirigidos a CVE-2026-4020 hasta la fecha, y la actividad inicial comenzó a principios de mayo de 2026 antes de aumentar drásticamente alrededor del 6 de junio de 2026, alcanzando un máximo de más de 4.000.000 de solicitudes un día después. Los esfuerzos de explotación se originaron en las siguientes direcciones IP:
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
Los propietarios de sitios que ejecutan una versión vulnerable del complemento Gravity SMTP y han configurado integraciones de correo electrónico de terceros deben asumir el compromiso y rotar las credenciales después de actualizar el complemento a la última versión lo antes posible. También se recomienda revisar los archivos de registro del servidor en busca de solicitudes que se originen en las direcciones IP antes mencionadas para detectar cualquier solicitud sospechosa al punto final de la API.
