2026-06-20 00:00
← VoltarOs agentes de ameaças estão explorando uma falha de segurança corrigida recentemente que afeta o Gravity SMTP, um plugin do WordPress instalado em cerca de 100.000 sites. A vulnerabilidade, rastreada comoCVE-2026-4020 (pontuação CVSS: 5,3), é uma falha de divulgação de informações de gravidade média que pode permitir que invasores não autenticados extraiam dados confidenciais, como dados de configuração, chaves de API, segredos e tokens OAuth configurados para as integrações de e-mail do plug-in. “Isso se deve a um endpoint da API REST registrado em /wp-json/gravitysmtp/v1/tests/mock-data com um permission_callback que retorna incondicionalmente verdadeiro, permitindo que qualquer visitante não autenticado o acesse”, disse Wordfence. "Quando o parâmetro de consulta ?page=gravitysmtp-settings é anexado, o método register_connector_data() do plug-in preenche os dados internos do conector, fazendo com que o endpoint retorne aproximadamente 365 KB de JSON contendo o relatório completo do sistema." Como resultado, um invasor não autenticado pode transformar esse problema em uma arma para recuperar uma ampla gama de informações, incluindo - Os invasores poderiam então aproveitar essa exposição para coletar credenciais que poderiam ser usadas de forma abusiva para enviar e-mails em nome do site, bem como coletar detalhes extensos da pilha de software do site, o que poderia atuar como base para ataques subsequentes. “Tal como acontece com todas as vulnerabilidades de exposição de...
Os agentes de ameaças estão explorando uma falha de segurança corrigida recentemente que afeta o Gravity SMTP, um plugin do WordPress instalado em cerca de 100.000 sites. A vulnerabilidade, rastreada comoCVE-2026-4020 (pontuação CVSS: 5,3), é uma falha de divulgação de informações de gravidade média que pode permitir que invasores não autenticados extraiam dados confidenciais, como dados de configuração, chaves de API, segredos e tokens OAuth configurados para as integrações de e-mail do plug-in. “Isso se deve a um endpoint da API REST registrado em /wp-json/gravitysmtp/v1/tests/mock-data com um permission_callback que retorna incondicionalmente verdadeiro, permitindo que qualquer visitante não autenticado o acesse”, disse Wordfence. "Quando o parâmetro de consulta ?page=gravitysmtp-settings é anexado, o método register_connector_data() do plug-in preenche os dados internos do conector, fazendo com que o endpoint retorne aproximadamente 365 KB de JSON contendo o relatório completo do sistema." Como resultado, um invasor não autenticado pode transformar esse problema em uma arma para recuperar uma ampla gama de informações, incluindo - Os invasores poderiam então aproveitar essa exposição para coletar credenciais que poderiam ser usadas de forma abusiva para enviar e-mails em nome do site, bem como coletar detalhes extensos da pilha de software do site, o que poderia atuar como base para ataques subsequentes. “Tal como acontece com todas as vulnerabilidades de exposição de informações confidenciais, o impacto depende de quais dados são expostos”, acrescentou Wordfence. “Neste caso, a exposição de credenciais API de terceiros em tempo real significa que um invasor pode abusar dos serviços de e-mail conectados ao site, enquanto o relatório detalhado do sistema reduz significativamente o esforço necessário para planejar novos ataques contra o site”. Um patch para a vulnerabilidade foi lançado na versão 2.1.5 do plugin. Os malfeitores já atacaram o defeito enviando solicitações HTTP GET não autenticadas para o endpoint vulnerável da API REST com o parâmetro de consulta "?page=gravitysmtp-settings", fazendo com que o servidor retorne informações valiosas sobre o site sem exigir qualquer autenticação.
O Wordfence bloqueou mais de 17 milhões de tentativas de exploração direcionadas ao CVE-2026-4020 até o momento, com a atividade inicial começando no início de maio de 2026, antes de aumentar dramaticamente por volta de 6 de junho de 2026, atingindo um máximo de mais de 4.000.000 de solicitações um dia depois. Os esforços de exploração originaram-se dos seguintes endereços IP - Os proprietários de sites que executam uma versão vulnerável do plug-in Gravity SMTP e configuraram integrações de e-mail de terceiros devem assumir o compromisso e alternar as credenciais após atualizar o plug-in para a versão mais recente o mais rápido possível. Também é aconselhável revisar os arquivos de log do servidor em busca de solicitações originadas dos endereços IP mencionados acima para quaisquer solicitações suspeitas ao endpoint da API. Aprenda como descobrir o uso oculto da IA, ver quais dados ela pode acessar, mapear cada ação da IA para um proprietário humano e aplicar governança prática sem grandes mudanças na infraestrutura. Aprenda como conter ataques de IA no estilo Mythos com controles práticos de Zero Trust que reduzem a exposição, interrompem o movimento lateral e limitam o risco. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.