Hackers exploram falha no plugin Gravity SMTP do WordPress (CVE-2026-4020) e roubam chaves de API em 100 mil sites

Cibercriminosos estão explorando ativamente uma falha recém-corrigida no Gravity SMTP, plugin WordPress instalado em cerca de 100 mil sites. Identificada como CVE-2026-4020 (CVSS 5.3), a vulnerabilidade permite que qualquer visitante sem autenticação extraia chaves de API, tokens OAuth, credenciais de serviços de e-mail e o relatório completo do sistema. A Wordfence já bloqueou mais de 17 milhões de tentativas de exploração desde o início de maio, com pico de 4 milhões de requisições em um único dia em junho.

O que aconteceu

O Gravity SMTP é uma extensão amplamente adotada para envio de e-mails transacionais a partir de sites WordPress, com integrações nativas para provedores como SendGrid, Mailgun, Amazon SES e Microsoft 365. A falha CVE-2026-4020, classificada como exposição de informação sensível, mora em um endpoint REST API que foi registrado sem qualquer verificação de permissão, deixando dados internos do plugin acessíveis a qualquer requisição HTTP GET feita à internet.

A campanha de exploração teve início no começo de maio de 2026, ainda em ritmo baixo, e disparou em torno de 6 de junho, atingindo o pico de 4 milhões de requisições em 24 horas. Os atacantes estão usando scripts automatizados para varrer a internet, identificar instalações vulneráveis e extrair o conteúdo do endpoint mal protegido antes que os administradores apliquem o patch da versão 2.1.5.

Detalhes da vulnerabilidade

De acordo com a Wordfence, o problema está no endpoint /wp-json/gravitysmtp/v1/tests/mock-data, registrado com um permission_callback que sempre retorna true. Isso significa que nenhuma autenticação, nonce ou role check é executado antes de o método register_connector_data() popular as estruturas internas do plugin com as credenciais configuradas pelo administrador.

“Quando o parâmetro ?page=gravitysmtp-settings é anexado, o método register_connector_data() popula os dados internos dos conectores, fazendo com que o endpoint devolva aproximadamente 365 KB de JSON contendo o System Report completo.”

Wordfence

O payload retornado inclui dados de configuração do site, chaves de API ativas, segredos, tokens OAuth válidos e detalhes do stack de software, como versões do PHP, MySQL, plugins instalados e tema em uso. Em conjunto, essas informações funcionam como um mapa quase completo para um atacante planejar a próxima fase do ataque – do abuso direto dos serviços de e-mail conectados até a exploração de outras falhas conhecidas no resto da pilha.

Quem é afetado

• Sites WordPress com versões do Gravity SMTP anteriores à 2.1.5;
• Empresas que configuraram integrações com provedores como SendGrid, Mailgun, SES, SMTP corporativo ou Microsoft 365;
• Operadores de e-commerce, portais de leads, agências e qualquer projeto que dependa do plugin para envio de notificações transacionais;
• Hospedagens compartilhadas com múltiplos sites afetados, que podem ver as credenciais expostas serem usadas em campanhas coordenadas de spam ou phishing.

Análise

O caso reforça uma tendência que ganha força no ecossistema WordPress há quase dois anos: bugs aparentemente “menores” em permission callbacks são, na prática, os mais letais. A diferença entre um CVSS 5.3 considerado “médio” e um cenário de tomada total de controle é quase sempre a qualidade do que vaza pelo endpoint exposto. Quando o que vaza são tokens OAuth ativos e API keys de provedores de e-mail, a empresa perde a capacidade de garantir a origem das próprias mensagens transacionais – e perde também o controle sobre a reputação dos domínios que utiliza para se comunicar com clientes.

O padrão ecoa exatamente o de incidentes recentes em plugins como Elementor Pro, LiteSpeed Cache e Ultimate Member, em que falhas de autorização em endpoints REST se transformaram em campanhas massivas em questão de dias. A velocidade observada na escalada da exploração – de zero para 4 milhões de requisições diárias em pouco mais de um mês – mostra que os atacantes mantêm pipelines automatizados de leitura de changelogs públicos do WP.org e produzem scanners em larga escala assim que percebem que a base instalada é relevante.

O agravante neste caso é que credenciais de provedores de e-mail viram ativos preciosos para campanhas de phishing e de business email compromise (BEC). Uma chave válida de SendGrid ou SES permite enviar mensagens autenticadas a partir do domínio legítimo da vítima, herdando a reputação de IP e os registros SPF/DKIM já configurados – exatamente o que torna phishing convincente e o que faz vazamentos de “info-disclosure” terem impacto financeiro muito superior ao sugerido pelo CVSS.

Recomendações práticas

• Atualize imediatamente o plugin Gravity SMTP para a versão 2.1.5 ou superior;
• Assuma comprometimento se a instalação rodava versão vulnerável com integrações de e-mail configuradas: rotacione todas as chaves de API, tokens OAuth e segredos vinculados;
• Revogue tokens existentes nos painéis dos provedores (SendGrid, Mailgun, SES, Microsoft 365) e gere novos com escopo mínimo;
• Audite logs de acesso buscando requisições GET para /wp-json/gravitysmtp/v1/tests/mock-data e bloqueie os IPs identificados como ofensores;
• Implemente WAF com regras específicas para endpoints REST do WordPress e ative monitoramento de tráfego anômalo;
• Revise envios recentes nos provedores conectados – mensagens enviadas a domínios suspeitos podem indicar abuso já em curso;
• Habilite alertas para criação de novos administradores e usuários no WordPress, prática comum em fases pós-comprometimento.

Fonte: The Hacker News