2026-06-19 00:00
← VoltarOs agentes de ameaças estão explorando uma vulnerabilidade de divulgação de informações não autenticadas no plugin WordPress Gravity SMTP, ativo em 100.000 sites. A falha é rastreada como CVE-2026-4020 e recebeu uma classificação de gravidade média. Afeta todas as versões do plugin 2.1.4 e anteriores e foi abordado na versão 2.1.5, lançada em 17 de março. A empresa de segurança WordPress Defiant está alertando que os hackers estão explorando ativamente a vulnerabilidade. O firewall Wordfence da empresa bloqueou mais de 17 milhões de tentativas contra clientes protegidos. O problema decorre de um endpoint de API REST exposto no Gravity SMTP, cujo ‘permission_callback’ sempre retorna ‘true’, permitindo que solicitações GET não autenticadas recebam um “Relatório do sistema” JSON abrangente gerado pelo plug-in. As informações expostas podem conter: Chaves de API, segredos e tokens OAuth para integrações de e-mail configuradas Credenciais para serviços de e-mail de terceiros, incluindo Amazon SES, Google, Mailjet, Resend e Zoho Detalhes de configuração do WordPress, incluindo plug-ins instalados, temas e versões de software Informações do ambiente de servidor e PHP Detalhes de configuração do banco de dados, incluindo versão do servidor e nomes de tabelas Apesar de sua classificação de gravidade média, a vulnerabilidade CVE-2026-4020 pode ser explorada sem autenticação, e as informações expostas podem ser usado para roubar credenciais de serviço de e-mail. Isso permite que um...
Os agentes de ameaças estão explorando uma vulnerabilidade de divulgação de informações não autenticadas no plugin WordPress Gravity SMTP, ativo em 100.000 sites. A falha é rastreada como CVE-2026-4020 e recebeu uma classificação de gravidade média. Afeta todas as versões do plugin 2.1.4 e anteriores e foi abordado na versão 2.1.5, lançada em 17 de março. A empresa de segurança WordPress Defiant está alertando que os hackers estão explorando ativamente a vulnerabilidade. O firewall Wordfence da empresa bloqueou mais de 17 milhões de tentativas contra clientes protegidos. O problema decorre de um endpoint de API REST exposto no Gravity SMTP, cujo ‘permission_callback’ sempre retorna ‘true’, permitindo que solicitações GET não autenticadas recebam um “Relatório do sistema” JSON abrangente gerado pelo plug-in. As informações expostas podem conter: Chaves de API, segredos e tokens OAuth para integrações de e-mail configuradas Credenciais para serviços de e-mail de terceiros, incluindo Amazon SES, Google, Mailjet, Resend e Zoho Detalhes de configuração do WordPress, incluindo plug-ins instalados, temas e versões de software Informações do ambiente de servidor e PHP Detalhes de configuração do banco de dados, incluindo versão do servidor e nomes de tabelas Apesar de sua classificação de gravidade média, a vulnerabilidade CVE-2026-4020 pode ser explorada sem autenticação, e as informações expostas podem ser usado para roubar credenciais de serviço de e-mail. Isso permite que um invasor se faça passar pela vítima perante terceiros e também obtenha informações detalhadas sobre a pilha de software do site e as possíveis vulnerabilidades presentes.
“A exposição de credenciais API de terceiros em tempo real significa que um invasor pode abusar dos serviços de e-mail conectados do site, enquanto o relatório detalhado do sistema reduz significativamente o esforço necessário para planejar novos ataques contra o site”, alertam os pesquisadores do Wordfence. Wordfence diz que a atividade de exploração aumentou em 7 de junho, com 4 milhões de solicitações bloqueadas naquele dia. Atividade semelhante foi registrada vários dias depois. Volume de exploração Fonte: Wordfence A empresa de segurança listou os endereços IP de origem mais prolíficos para solicitações de exploração, que os administradores de sites devem adicionar às suas listas de bloqueio. Um indicador importante de comprometimento são as solicitações para ‘/wp-json/gravitysmtp/v1/tests/mock-data’ encontradas nos logs de acesso do servidor web, especialmente aqueles que incluem o parâmetro de consulta ‘?page=gravitysmtp-settings’. Ontem, a empresa emitiu um comunicado separado sobre uma falha crítica, não autenticada e arbitrária de exclusão de arquivos no plugin Avada Builder WordPress, usado em um milhão de sites. Esta vulnerabilidade é identificada como CVE-2026-8713 e permite que invasores excluam arquivos arbitrários do servidor por meio de uma falha de passagem de caminho, desde que um formulário Avada publicado esteja configurado para salvar envios no banco de dados. A exclusão de arquivos críticos, como wp-config.php, pode reverter o site ao seu estado de configuração inicial, levando potencialmente ao controle total do site e à execução remota de código.
O problema foi corrigido na versão 3.15.4, que é o alvo de atualização recomendado para administradores de sites. Nenhuma exploração ativa de CVE-2026-8713 foi observada ainda, mas este é um bom candidato, portanto é aconselhável uma ação rápida.