Falha de divulgação de informação em endpoint REST sem autenticação já gerou mais de 17 milhões de tentativas bloqueadas; integrações de e-mail de terceiros ficam em risco até atualização para a versão 2.1.5 e rotação de credenciais.
| Componente | Plugin WordPress Gravity SMTP, endpoint REST /wp-json/gravitysmtp/v1/tests/mock-data e integrações de e-mail de terceiros (Amazon SES, Google, Mailjet, Resend, Zoho) |
| Vetor | Requisições HTTP GET não autenticadas ao endpoint com permission_callback que retorna verdadeiro incondicionalmente; o parâmetro de consulta ?page=gravitysmtp-settings aciona register_connector_data() e devolve cerca de 365 KB de JSON com o System Report completo |
| Impacto | Divulgação de dados de configuração, chaves de API, segredos e tokens OAuth do plugin; credenciais ativas podem ser reutilizadas para envio de e-mail em nome do site e o relatório detalhado reduz o esforço para ataques subsequentes |
| Prioridade | Atualizar imediatamente para a versão 2.1.5, presumir comprometimento quando integrações de terceiros estiverem configuradas, rotacionar credenciais expostas e revisar logs de acesso ao endpoint |
| Versões | Correção publicada na versão 2.1.5; versões anteriores permanecem vulneráveis |
| Mitigação | Aplicar patch 2.1.5, rotacionar tokens e chaves das integrações citadas, auditar logs web por GET ao caminho REST afetado e monitorar tentativas de exploração em massa |
Operadores maliciosos estão explorando ativamente uma falha recentemente corrigida no Gravity SMTP, extensão WordPress instalada em aproximadamente 100 mil sites. A vulnerabilidade, catalogada como CVE-2026-4020 com pontuação CVSS 5.3, é classificada como divulgação de informação de severidade média e permite que visitantes não autenticados extraiam dados sensíveis ligados às integrações de e-mail do plugin.
O defeito decorre de um endpoint REST registrado em /wp-json/gravitysmtp/v1/tests/mock-data cuja função de permissão retorna verdadeiro de forma incondicional, abrindo o recurso a qualquer requisição externa sem autenticação. Quando o parâmetro ?page=gravitysmtp-settings é anexado, o método register_connector_data() preenche dados internos de conectores e a resposta passa a incluir aproximadamente 365 KB de JSON correspondente ao System Report integral. Esse volume expõe não apenas metadados operacionais, mas credenciais de serviços de terceiros configurados no ambiente WordPress.
A exploração já deixou de ser teórica. Foram observadas requisições GET não autenticadas direcionadas ao endpoint vulnerável com o parâmetro de consulta citado, provocando respostas com informação valiosa sem qualquer credencial prévia. Proteções comerciais registraram mais de 17 milhões de tentativas de exploração bloqueadas contra CVE-2026-4020, com atividade inicial no início de maio de 2026 e pico acentuado por volta de 6 de junho de 2026, chegando a mais de quatro milhões de requisições em um único dia posterior. A correção oficial está disponível na versão 2.1.5 do plugin.
A cadeia de abuso começa no registro permissivo do endpoint de testes do Gravity SMTP dentro da API REST do WordPress. Em condições normais, rotas REST deveriam validar identidade ou capacidade antes de responder; aqui, a callback de permissão aprova todo acesso, eliminando a barreira entre visitante anônimo e dados internos do conector SMTP.
O gatilho operacional relevante é a combinação do caminho REST com o parâmetro page=gravitysmtp-settings. Esse acionador força a execução de register_connector_data(), que materializa no corpo da resposta o conjunto de dados de conectores já configurados no painel administrativo. O resultado é um pacote JSON extenso — na ordem de centenas de kilobytes — contendo o System Report completo, incluindo segredos de integração e tokens OAuth associados a provedores de envio.
Do ponto de vista ofensivo documentado, o atacante não precisa de conta local, cookie de sessão administrativa ou token de aplicação. Basta emitir uma requisição GET para o endpoint exposto; o servidor WordPress processa a rota, popula os conectores por efeito do parâmetro de página e devolve o relatório. Com as credenciais em mãos, o operador pode tentar reutilizar chaves de API e tokens para disparar mensagens através dos serviços conectados, explorando a reputação do domínio vítima. Paralelamente, o detalhamento do stack de software embutido no relatório facilita o planejamento de movimentos posteriores contra plugins, temas ou configurações específicas do site.
O impacto concreto depende do que estiver configurado no ambiente afetado. O contexto técnico enfatiza exposição de credenciais de terceiros ainda ativas e de um mapa operacional denso do site; não há, no material analisado, confirmação de execução remota de código ou movimentação lateral automática — o risco primário permanece a exfiltração de segredos e o abuso subsequente das integrações de e-mail.
A exposição atinge instalações WordPress que executam versões vulneráveis do Gravity SMTP anteriores à 2.1.5, especialmente aquelas com integrações de e-mail de terceiros já provisionadas no plugin. A base estimada de cerca de 100 mil sites com o componente instalado amplia a janela de alvos potenciais enquanto patches não forem aplicados de forma consistente.
Administradores que configuraram conectores para Amazon SES, Google, Mailjet, Resend ou Zoho dentro do Gravity SMTP devem tratar as credenciais correspondentes como potencialmente comprometidas se a versão corrigida ainda não estiver em produção ou se houver evidência de acesso ao endpoint REST afetado.
- Endpoint REST
/wp-json/gravitysmtp/v1/tests/mock-dataacessível sem autenticação em versões vulneráveis - Resposta ampliada quando a consulta inclui
?page=gravitysmtp-settings, com JSON de System Report (~365 KB) - Integrações de e-mail de terceiros cujas chaves, segredos e tokens OAuth possam constar na resposta
- Sites WordPress com plugin Gravity SMTP abaixo da versão 2.1.5
Equipes de segurança e operadores WordPress devem priorizar a telemetria de acesso web e de aplicação que cubra a API REST do site. Padrões de varredura em massa já produziram volumes na ordem de milhões de tentativas diárias em picos recentes, o que torna detectável um ruído de GET repetitivos contra o caminho do Gravity SMTP mesmo em ambientes sem WAF comercial.
Além do volume bruto, vale correlacionar respostas HTTP de grande tamanho associadas ao endpoint de testes com origens externas não autenticadas. Respostas na faixa de centenas de kilobytes para visitantes anônimos em rotas administrativas ou de diagnóstico costumam indicar extração bem-sucedida de relatório completo. Logs de início de maio de 2026 e, com maior intensidade, a partir de 6 de junho de 2026, merecem revisão retroativa.
O material de referência menciona endereços IP de origem das tentativas, porém a lista específica não acompanha o material analisado; a caça deve focar no padrão de requisição — método GET, caminho REST citado e presença do parâmetro page=gravitysmtp-settings — em vez de depender exclusivamente de indicadores de rede não fornecidos.
- GET não autenticados para
/wp-json/gravitysmtp/v1/tests/mock-datacom parâmetropage=gravitysmtp-settings - Respostas JSON volumosas (~365 KB) retornadas a clientes sem sessão administrativa
- Picos de tráfego repetitivo compatíveis com campanhas de exploração automatizada observadas desde maio de 2026
- Tentativas de uso posterior de credenciais de SES, Google, Mailjet, Resend ou Zoho fora do padrão habitual do site
A resposta imediata exige aplicar a versão 2.1.5 do Gravity SMTP, que corrige o registro permissivo do endpoint e impede a divulgação descrita. Atualizações devem ser validadas em staging quando possível, mas o ritmo de exploração ativa — incluindo picos superiores a quatro milhões de requisições diárias — justifica prioridade elevada em produção.
Após o patch, administradores que mantinham integrações de terceiros configuradas devem presumir comprometimento das credenciais expostas: rotacionar chaves de API, segredos e tokens OAuth nos painéis dos provedores citados, revogar tokens antigos e revisar políticas de envio e limites de quota para detectar abuso de remetente. Também é prudente inspecionar filas de e-mail e registros de autenticação dos conectores por envios não autorizados posteriores à janela de exposição.
Por fim, reforce controles perimetrais e de observabilidade: regras temporárias bloqueando acesso anônimo ao caminho REST afetado em versões ainda não corrigidas, alertas sobre respostas anormalmente grandes na API REST e retenção estendida de logs web para investigações retroativas alinhadas ao início da campanha documentada.
- Atualizar Gravity SMTP para a versão 2.1.5 em todos os ambientes WordPress afetados
- Rotacionar credenciais de Amazon SES, Google, Mailjet, Resend e Zoho configuradas no plugin
- Revisar logs de acesso por GET ao endpoint REST vulnerável, com atenção a picos desde maio e junho de 2026
- Validar ausência de envios anômalos após rotação e monitorar tentativas residuais de exploração
0 Comentários