Los hackers están explotando masivamente una falla de Gravity SMTP para robar claves API de 100,000 sitios de WordPress.

      TL;DRWordfence bloqueó más de 17 millones de intentos de explotar un error en Gravity SMTP que filtra claves API y datos del sistema de sitios de WordPress sin autenticación. Los atacantes están explotando activamente una vulnerabilidad en el plugin Gravity SMTP de WordPress que expone claves API, tokens OAuth y datos de configuración del sistema detallados a cualquiera que envíe una sola solicitud HTTP no autenticada. Wordfence, la firma de seguridad de WordPress propiedad de Defiant, dice que ha bloqueado más de 17 millones de intentos de explotación dirigidos a la falla desde que la actividad comenzó a principios de mayo de 2026. El plugin está instalado en aproximadamente 100,000 sitios de WordPress. La vulnerabilidad, rastreada como CVE-2026-4020 y calificada con 5.3 en la escala CVSS por Wordfence, afecta todas las versiones de Gravity SMTP hasta la 2.1.4. Se lanzó un parche en la versión 2.1.5 el 17 de marzo de 2026, pero la explotación no comenzó hasta aproximadamente dos meses después, lo que sugiere que los atacantes descompusieron la solución o descubrieron la falla de forma independiente después de que el parche llamó la atención sobre ella. La causa raíz es un endpoint de la API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data con una función permission_callback que devuelve incondicionalmente verdadero. Eso significa que no se realiza ninguna verificación de autenticación antes de que el servidor procese la solicitud. Cuando un atacante agrega el parámetro de consulta ?page=gravitysmtp-settings, el método register_connector_data() del plugin llena los datos del conector interno, y el endpoint devuelve aproximadamente 365 KB de JSON que contiene el informe completo del sistema del sitio. Los datos expuestos incluyen claves API, secretos y tokens OAuth para cada integración de correo electrónico configurada en el plugin. Gravity SMTP admite Amazon SES, Google, Mailjet, Resend y Zoho, y las credenciales para cualquiera de estos servicios aparecen en la respuesta si han sido configuradas. Un atacante que obtenga esas credenciales puede enviar correos electrónicos en nombre del sitio comprometido, una capacidad que es útil para campañas de phishing y compromiso de correo electrónico empresarial. El informe del sistema también contiene la versión de WordPress, la versión de PHP y las extensiones cargadas, la versión del servidor web, la ruta del documento raíz, el tipo y la versión del servidor de base de datos, todos los plugins activos con sus números de versión, el tema activo y los nombres de las tablas de la base de datos. Esa información proporciona a los atacantes un mapa detallado de la pila de software del sitio, reduciendo significativamente el esfuerzo de reconocimiento requerido para planificar ataques posteriores contra vulnerabilidades conocidas en versiones específicas de plugins o servidores. "La exposición de credenciales API de terceros en vivo significa que un atacante podría abusar de los servicios de correo electrónico conectados del sitio, mientras que el informe detallado del sistema reduce significativamente el esfuerzo requerido para planificar ataques adicionales contra el sitio", escribieron los investigadores de Wordfence en su aviso. El volumen de explotación aumentó drásticamente alrededor del 6 de junio de 2026, con Wordfence bloqueando más de 4 millones de solicitudes en un solo día el 7 de junio. El tráfico de ataque ha originado principalmente de un grupo de direcciones IP que Wordfence publicó para que los administradores las agreguen a las listas de bloqueo. El indicador clave de compromiso son las solicitudes a /wp-json/gravitysmtp/v1/tests/mock-data en los registros de acceso del servidor web, particularmente aquellas que contienen el parámetro de consulta ?page=gravitysmtp-settings. CrowdSec, la plataforma de inteligencia de amenazas de código abierto, corroboró de forma independiente la cronología. Desplegó detección para CVE-2026-4020 el 22 de mayo y observó la primera explotación en el mundo real el 27 de mayo. Para el 1 de junio, la actividad había sido clasificada como ruido de fondo, lo que indica que se había integrado en rutinas de escaneo automatizadas que barren sitios de WordPress a gran escala. La velocidad a la que se industrializó la explotación refleja un patrón más amplio en la seguridad de los plugins de WordPress. La falla no requiere autenticación, apunta a un plugin ampliamente instalado y devuelve datos de alto valor en una sola solicitud GET, lo que facilita su automatización. El ecosistema de plugins de WordPress ha enfrentado repetidos compromisos de la cadena de suministro en 2026, incluido un ataque en el que 30 plugins comprados en Flippa fueron comprometidos y permanecieron inactivos durante ocho meses antes de la activación. La vulnerabilidad de Gravity SMTP es distinta de esos ataques a la cadena de suministro en que no involucra código malicioso inyectado por un desarrollador comprometido. Es un error de codificación sencillo, un callback de permiso que debería haber verificado las credenciales del usuario que realiza la solicitud, pero en su lugar devolvió verdadero para cada solicitud. La simplicidad de la falla hace que su supervivencia a través del desarrollo, revisión y lanzamiento sea notable. La exposición de credenciales API es particularmente peligrosa porque esas credenciales a menudo persisten incluso después de que se actualiza el plugin. Actualizar a la versión 2.1.5 cierra el endpoint vulnerable, pero no revoca ni rota las claves API que pueden haber sido recolectadas. El robo de credenciales a través de fallas de software es un problema en aceleración en toda la industria, con investigaciones recientes que muestran que las credenciales API expuestas son explotadas dentro de minutos de su descubrimiento. El aviso de Wordfence insta a los propietarios de sitios que ejecutan una versión vulnerable de Gravity SMTP y que han configurado integraciones de correo electrónico de terceros a asumir que han sido comprometidos. La remediación recomendada es actualizar el plugin a la versión 2.1.5 o posterior, y luego rotar inmediatamente todas las claves API, secretos y tokens OAuth configurados en los conectores de correo electrónico del plugin. Los administradores también deben revisar los archivos de registro del servidor en busca de solicitudes de las direcciones IP de los atacantes publicadas. El CVE se publicó el 31 de marzo de 2026, dos semanas después de que se lanzó el parche. A pesar de la ventana de tres meses entre la disponibilidad del parche y la explotación máxima, muchos sitios siguen siendo vulnerables. La brecha entre cuando los parches están disponibles y cuando las organizaciones los implementan es uno de los problemas más persistentes en la seguridad del software, y los plugins de WordPress son especialmente propensos a ello porque muchos operadores de sitios no monitorean los registros de cambios de los plugins ni habilitan actualizaciones automáticas. Wordfence también emitió un aviso separado esta semana para CVE-2026-8713, una vulnerabilidad crítica de eliminación arbitraria de archivos no autenticada en el plugin Avada Builder, que está instalado en aproximadamente un millón de sitios de WordPress. Esa falla permite a los atacantes eliminar archivos en el servidor a través de un error de recorrido de ruta, y eliminar wp-config.php puede revertir un sitio a su estado de configuración inicial, lo que potencialmente permite una toma de control total. Un parche para la falla de Avada Builder está disponible en la versión 3.15.4, y aún no se ha observado explotación activa de CVE-2026-8713. Wordfence no atribuyó la explotación de Gravity SMTP a un actor o grupo de amenazas específico. El patrón de escaneo masivo desde un pequeño grupo de direcciones IP es consistente con la recolección de credenciales oportunista en lugar de una intrusión dirigida, aunque las credenciales robadas podrían ser vendidas o compartidas con operadores más sofisticados para ataques posteriores.