Atacantes estão explorando uma falha de segurança recentemente corrigida que afeta o Gravity SMTP, um plugin do WordPress instalado em cerca de 100 mil sites.
A vulnerabilidade, registrada como CVE-2026-4020 (sigla em inglês para Common Vulnerabilities and Exposures; pontuação CVSS — Common Vulnerability Scoring System: 5,3), é uma falha de divulgação de informações de gravidade média que pode permitir que invasores não autenticados extraiam dados sensíveis, como dados de configuração, chaves de API (Interface de Programação de Aplicações), segredos e tokens OAuth (protocolo aberto de autorização) configurados para as integrações de e-mail do plugin.
"Isso se deve a um endpoint da API REST (Interface de Programação de Aplicações de Transferência de Estado Representacional) registrado em /wp-json/gravitysmtp/v1/tests/mock-data com um permission_callback que retorna 'true' incondicionalmente, permitindo que qualquer visitante não autenticado o acesse", afirmou a Wordfence.
"Quando o parâmetro de consulta ?page=gravitysmtp-settings é acrescentado, o método register_connector_data() do plugin preenche dados internos do conector, fazendo com que o endpoint retorne aproximadamente 365 KB de JSON (formato leve de intercâmbio de dados) contendo o Relatório do Sistema completo."
Informações que podem ser extraídas
Como resultado, um atacante não autenticado pode explorar essa falha para obter uma ampla gama de informações, incluindo:
- Versão do PHP
- Extensões carregadas
- Versão do servidor web
- Caminho raiz do documento
- Tipo e versão do servidor de banco de dados
- Versão do WordPress
- Todos os plugins ativos com suas versões
- Tema ativo
- Detalhes de configuração do WordPress
- Nomes das tabelas do banco de dados
- Chaves e tokens de API configurados no plugin, como Amazon SES (Simple Email Service), Google, Mailjet, Resend e Zoho
Os atacantes poderiam então aproveitar essa exposição para coletar credenciais que poderiam ser usadas indevidamente para enviar e-mails em nome do site, além de obter detalhes extensos da pilha de software do site, o que poderia servir como base para ataques subsequentes.
"Assim como em todas as vulnerabilidades de exposição de informações sensíveis, o impacto depende de quais dados são expostos", acrescentou a Wordfence. "Neste caso, a exposição de credenciais de API de terceiros ativas significa que um atacante poderia abusar dos serviços de e-mail conectados ao site, enquanto o relatório detalhado do sistema reduz significativamente o esforço necessário para planejar novos ataques contra o site."
Correção e tentativas de exploração
Uma correção para a vulnerabilidade foi lançada na versão 2.1.5 do plugin. Atacantes já se aproveitaram da falha enviando requisições HTTP (Protocolo de Transferência de Hipertexto) GET não autenticadas ao endpoint vulnerável da API REST com o parâmetro de consulta ?page=gravitysmtp-settings, fazendo com que o servidor retornasse informações valiosas sobre o site sem exigir qualquer autenticação.
A Wordfence já bloqueou mais de 17 milhões de tentativas de exploração visando a CVE-2026-4020 até o momento, com a atividade inicial começando no início de maio de 2026, antes de aumentar drasticamente por volta de 6 de junho de 2026, atingindo um pico de mais de 4 milhões de requisições por dia depois. As tentativas de exploração se originaram dos seguintes endereços IP (Protocolo de Internet):
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
Recomendações para administradores
Proprietários de sites que executam uma versão vulnerável do plugin Gravity SMTP e que configuraram integrações de e-mail de terceiros devem presumir que houve comprometimento e rotacionar as credenciais após atualizar o plugin para a versão mais recente o quanto antes. Também é recomendável revisar os arquivos de log do servidor em busca de requisições originadas dos endereços IP mencionados que tenham feito solicitações suspeitas ao endpoint da API.
