by al10sk29dj38
Bookmark

Falha em plugin Gravity SMTP expõe dados sensíveis de sites WordPress

Agentes maliciosos estão explorando uma vulnerabilidade no plugin Gravity SMTP para WordPress para obter informações detalhadas sobre ambientes comprometidos, incluindo credenciais e configurações sensíveis que podem facilitar novos ataques.

A falha, identificada como CVE-2026-4020 e classificada com severidade média (CVSS 5.3), afeta todas as versões do plugin anteriores à 2.1.5. Segundo a empresa de segurança Defiant, a exploração ativa da vulnerabilidade foi observada desde o início de maio.

O Gravity SMTP é utilizado para melhorar a entrega de e-mails em sites WordPress, integrando serviços SMTP e APIs de provedores externos para envio e monitoramento de mensagens.

Falha permite acesso não autenticado a informações internas

A vulnerabilidade está relacionada a um endpoint da API REST do plugin que retorna acesso válido sem realizar verificações de autenticação ou permissões. Ao adicionar um parâmetro específico à requisição, um invasor pode obter um relatório completo do sistema em formato JSON.

Entre as informações expostas estão:

  • • Versão do WordPress e do PHP;
  • • Extensões carregadas;
  • • Detalhes do servidor web;
  • • Caminho raiz dos arquivos do site;
  • • Informações do banco de dados;
  • • Plugins e temas ativos;
  • • Configurações do WordPress;
  • • Chaves de API, tokens e credenciais configuradas.

De acordo com a Defiant, o problema foi introduzido em uma biblioteca compartilhada responsável pela coleta de configurações do ambiente, onde o endpoint vulnerável não implementa mecanismos de autenticação.

Credenciais e reconhecimento do ambiente em risco

Os pesquisadores alertam que a exposição dessas informações permite que invasores realizem atividades de reconhecimento detalhado da infraestrutura, identificando outras vulnerabilidades que possam ser exploradas posteriormente.

Além disso, credenciais associadas a serviços de envio de e-mails podem ser comprometidas, permitindo o envio de mensagens em nome do site afetado.

“Isso possibilita que atacantes não autenticados obtenham credenciais que podem ser usadas para enviar e-mails em nome do site, além de coletar informações detalhadas sobre a pilha tecnológica utilizada”, destacou a Defiant.

Mais de 17 milhões de tentativas de exploração bloqueadas

A empresa informou ter identificado ataques ativos explorando a vulnerabilidade desde maio. Os invasores realizam requisições GET não autenticadas para recuperar o relatório completo do sistema.

Durante o mês de junho, a Defiant observou um aumento significativo nas tentativas de exploração da CVE-2026-4020. Até o momento, mais de 17 milhões de tentativas de ataque foram bloqueadas.

Recomendações

Administradores e responsáveis por sites WordPress devem atualizar imediatamente o plugin para a versão 2.1.5 ou superior.

Também é recomendada a análise dos logs de acesso do servidor em busca de requisições direcionadas ao endpoint vulnerável, já que a exploração não costuma deixar outros indícios evidentes de comprometimento.

Para ambientes que utilizam integrações com serviços de terceiros, como Amazon SES, Google, Mailjet, Resend ou Zoho, a recomendação é considerar que chaves de API, segredos e tokens OAuth possam ter sido expostos. Após a atualização do plugin, esses credenciais devem ser revogadas e substituídas por novas.

Para saber mais, clique aqui.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading