Vulnerabilidad en Gravity SMTP expone claves API en WordPress
Publicado el
Explotación de una vulnerabilidad en Gravity SMTP
Un grupo de atacantes ha comenzado a explotar una vulnerabilidad recientemente corregida en el plugin Gravity SMTP para WordPress, que se encuentra instalado en cerca de 100,000 sitios. La vulnerabilidad, identificada como CVE-2026-4020 y con un CVSS de 5.3, permite la divulgación de información sensible, lo que podría comprometer la seguridad de los sitios afectados.
Detalles de la vulnerabilidad
La falla se origina en un endpoint de la API REST registrado en `/wp-json/gravitysmtp/v1/tests/mock-data`, que tiene un `permission_callback` que devuelve true sin condiciones. Esto significa que cualquier visitante no autenticado puede acceder a él. Cuando se añade el parámetro de consulta `?page=gravitysmtp-settings`, se activa el método `register_connector_data()` del plugin, lo que provoca que el endpoint devuelva aproximadamente 365 KB de JSON que contiene un informe completo del sistema.
La información que puede ser extraída incluye: - Versión de PHP - Extensiones cargadas - Versión del servidor web - Ruta del documento raíz - Tipo y versión del servidor de bases de datos - Versión de WordPress - Todos los plugins activos y sus versiones - Tema activo - Detalles de configuración de WordPress - Nombres de tablas de bases de datos - Claves/tokens API configurados en el plugin, como Amazon SES, Google, Mailjet, Resend y Zoho
Riesgos asociados
Los atacantes pueden aprovechar esta exposición para obtener credenciales que les permitirían enviar correos electrónicos en nombre del sitio o para obtener información detallada sobre la pila de software del sitio, lo que facilitaría ataques posteriores.
Wordfence, la herramienta de seguridad que ha detectado esta vulnerabilidad, ha bloqueado más de 17 millones de intentos de explotación relacionados con CVE-2026-4020. La actividad inicial se registró a principios de mayo de 2026, con un aumento drástico alrededor del 6 de junio, alcanzando más de 4 millones de solicitudes en un solo día.
Medidas recomendadas
Los propietarios de sitios que utilicen una versión vulnerable de Gravity SMTP y que tengan integraciones de correo electrónico de terceros deben considerar que sus sistemas pueden estar comprometidos. Se recomienda encarecidamente: 1. Actualizar el plugin a la versión más reciente (2.1.5) que corrige la vulnerabilidad. 2. Rotar las credenciales de API afectadas tras la actualización. 3. Revisar los archivos de registro del servidor en busca de solicitudes sospechosas desde direcciones IP asociadas a los ataques, como 45.148.10.95 y 193.32.162.60.
Ante la creciente amenaza, es crucial que los administradores de WordPress tomen medidas proactivas para proteger sus sitios y minimizar el riesgo de ataques.