Una grave falla de seguridad en el plugin Gravity SMTP para WordPress está siendo explotada masivamente por atacantes para robar claves API, tokens OAuth y datos confidenciales de configuración del sistema. Wordfence, la firma de seguridad propiedad de Defiant, ha bloqueado más de 17 millones de intentos de explotación desde que comenzó la actividad maliciosa a principios de mayo de 2026. El plugin afectado está instalado en aproximadamente 100,000 sitios web de WordPress en todo el mundo.
La vulnerabilidad, identificada como CVE-2026-4020 con una calificación de 5.3 en la escala CVSS, afecta todas las versiones de Gravity SMTP hasta la 2.1.4. Aunque el parche se lanzó en la versión 2.1.5 el 17 de marzo de 2026, la explotación masiva no comenzó hasta aproximadamente dos meses después, lo que sugiere que los atacantes realizaron ingeniería inversa del parche o descubrieron la falla de forma independiente tras la atención generada por la actualización.
El problema radica en un endpoint de la API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data que tiene una función permission_callback que devuelve incondicionalmente "true". Esto significa que no se ejecuta ninguna verificación de autenticación antes de procesar la solicitud. Cuando un atacante añade el parámetro ?page=gravitysmtp-settings, el plugin devuelve aproximadamente 365 KB de datos JSON que contienen el informe completo del sistema del sitio, incluyendo claves API, secretos y tokens OAuth de servicios de correo como Amazon SES, Google, Mailjet, Resend y Zoho.
Los atacantes que obtienen estas credenciales pueden enviar correos electrónicos en nombre del sitio comprometido, una capacidad valiosa para campañas de phishing y compromisos de correo empresarial. Además, el informe del sistema expone la versión de WordPress, PHP, servidor web, tipo de base de datos, plugins activos con sus versiones y el tema activo, proporcionando un mapa detallado de la infraestructura del sitio que facilita ataques posteriores dirigidos a vulnerabilidades conocidas.
El volumen de explotación alcanzó su pico alrededor del 6 de junio de 2026, cuando Wordfence bloqueó más de 4 millones de solicitudes en un solo día. El tráfico malicioso proviene principalmente de un conjunto de direcciones IP que Wordfence ha publicado para que los administradores las bloqueen. Wordfence recomienda urgentemente a los propietarios de sitios que ejecutan versiones vulnerables actualizar inmediatamente a la versión 2.1.5 o superior y rotar todas las claves API, secretos y tokens OAuth configurados en el plugin, ya que actualizar solo cierra el endpoint vulnerable pero no revoca las credenciales potencialmente robadas.
Fuente Original: https://thenextweb.com/news/gravity-smtp-wordpress-plugin-vulnerability-cve-2026-4020-api-keys-exploit
Artículos relacionados de LaRebelión:
- Agentes IA Vulnerabilidad de Ejecucion Remota Descubierta
- Vulnerabilidad RoguePlanet en Microsoft Defender Expuesta
- Vulnerabilidad Critica en Linux por Un Solo Caracter
- Vulnerabilidad CVE-2026-42271 en LiteLLM Explotada Activamente
- Malware Oculto Sitios Falsos Enganan en Google
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario