Atores maliciosos estão explorando uma falha de segurança recentemente corrigida no Gravity SMTP, plugin do WordPress instalado em cerca de 100.000 sites.
A vulnerabilidade, identificada como CVE-2026-4020 e com nota CVSS 5,3, é uma falha de divulgação de informações de gravidade média. Ela afeta todas as versões do plugin até a 2.1.4 e foi corrigida na versão 2.1.5, lançada em 17 de março.
Segundo a Wordfence, hackers já estão explorando ativamente a falha, e o firewall Wordfence, da companhia, bloqueou mais de 17 milhões de tentativas contra clientes protegidos. A atividade inicial começou no início de maio de 2026 e ganhou força de forma expressiva por volta de 6 de junho de 2026, atingindo no dia seguinte um pico superior a 4.000.000 de requisições.
O problema decorre de um endpoint da REST API registrado em /wp-json/gravitysmtp/v1/tests/mock-data, cujo permission_callback retorna true de forma incondicional, permitindo que qualquer visitante sem autenticação acesse o recurso. Quando o parâmetro de consulta ?page=gravitysmtp-settings é adicionado, o método register_connector_data() do plugin preenche dados internos do conector, fazendo com que o endpoint retorne cerca de 365 KB de JSON contendo o System Report completo.
Na prática, isso permite que um atacante sem autenticação extraia uma ampla gama de dados sensíveis, incluindo versão do PHP, extensões carregadas, versão do servidor web, caminho da raiz dos documentos, tipo e versão do servidor de banco de dados, versão do WordPress, todos os plugins ativos com suas versões, tema ativo, detalhes de configuração do WordPress, nomes das tabelas do banco de dados e chaves e tokens de API configurados no plugin, como Amazon SES, Google, Mailjet, Resend e Zoho.
As informações expostas também podem incluir segredos, tokens OAuth e credenciais de serviços de e-mail de terceiros. Com esses dados, atacantes podem roubar credenciais que permitiriam enviar e-mails em nome do site, além de mapear em detalhes a pilha de software da vítima, o que pode servir de base para ataques posteriores.
“Quando o parâmetro de consulta ?page=gravitysmtp-settings é adicionado, o método register_connector_data() do plugin preenche dados internos do conector, fazendo com que o endpoint retorne cerca de 365 KB de JSON contendo o System Report completo”, explicou a Wordfence. Segundo a empresa, como ocorre com todas as vulnerabilidades de exposição de informações sensíveis, o impacto depende dos dados revelados.
“Neste caso, a exposição de credenciais válidas de API de terceiros significa que um atacante pode abusar dos serviços de e-mail conectados ao site, enquanto o relatório detalhado do sistema reduz bastante o esforço necessário para planejar novos ataques contra o ambiente”, alertaram os pesquisadores.
Agentes maliciosos já começaram a explorar a falha por meio de requisições HTTP GET sem autenticação ao endpoint vulnerável, usando o parâmetro de consulta ?page=gravitysmtp-settings, o que faz o servidor devolver informações valiosas sobre o site sem exigir qualquer validação.
A Wordfence listou ainda os endereços IP de origem mais frequentes dos pedidos de exploração, que administradores de sites devem adicionar às suas listas de bloqueio:
- 45.148.10.95
- 193.32.162.60
- 176.65.148.139
- 173.199.90.188
- 45.148.10.120
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
- 176.65.148.30
Um indicador importante de comprometimento é a presença de requisições para /wp-json/gravitysmtp/v1/tests/mock-data nos logs de acesso do servidor web, especialmente aquelas que incluem o parâmetro de consulta ?page=gravitysmtp-settings.
Administradores de sites que executam uma versão vulnerável do Gravity SMTP e configuraram integrações de e-mail de terceiros devem presumir comprometimento e rotacionar as credenciais após atualizar o plugin para a versão mais recente, o quanto antes. Também é recomendável revisar os arquivos de log do servidor em busca de requisições originadas dos IPs acima, especialmente qualquer acesso suspeito ao endpoint da API.
A Wordfence publicou também outro alerta sobre uma falha crítica no plugin Avada Builder para WordPress, usado em 1 milhão de sites.
O problema permite a exclusão arbitrária de arquivos sem autenticação. A vulnerabilidade é identificada como CVE-2026-8713 e permite que atacantes apaguem arquivos arbitrários no servidor por meio de uma falha de travessia de caminho, desde que um formulário publicado do Avada esteja configurado para salvar envios no banco de dados.
A exclusão de arquivos críticos, como o wp-config.php, pode fazer o site voltar ao estado inicial de configuração, o que pode levar à tomada total do ambiente e à execução remota de código.
O problema foi corrigido na versão 3.15.4, que é a atualização recomendada para administradores de sites. Até agora, não há indícios de exploração ativa da CVE-2026-8713, mas a vulnerabilidade é considerada um forte candidato a abuso, o que torna a atualização urgente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...