Gli hacker stanno sfruttando in massa una vulnerabilità di Gravity SMTP per rubare le chiavi API da 100.000 siti WordPress.

      TL;DRWordfence ha bloccato oltre 17 milioni di tentativi di sfruttare un bug di Gravity SMTP che fa trapelare chiavi API e dati di sistema dai siti WordPress senza autenticazione. Gli aggressori stanno attivamente sfruttando una vulnerabilità nel plugin Gravity SMTP di WordPress che espone chiavi API, token OAuth e dati dettagliati di configurazione del sistema a chiunque invii una singola richiesta HTTP non autenticata. Wordfence, la società di sicurezza di WordPress di proprietà di Defiant, afferma di aver bloccato più di 17 milioni di tentativi di sfruttamento della falla da quando l'attività è iniziata all'inizio di maggio 2026. Il plugin è installato su circa 100.000 siti WordPress. La vulnerabilità, tracciata come CVE-2026-4020 e valutata 5.3 sulla scala CVSS da Wordfence, colpisce tutte le versioni di Gravity SMTP fino alla 2.1.4. Una patch è stata rilasciata nella versione 2.1.5 il 17 marzo 2026, ma lo sfruttamento non è iniziato fino a circa due mesi dopo, suggerendo che gli aggressori abbiano ingegnerizzato a ritroso la correzione o scoperto la falla in modo indipendente dopo che la patch ha attirato l'attenzione su di essa. La causa principale è un endpoint API REST registrato a /wp-json/gravitysmtp/v1/tests/mock-data con una funzione permission_callback che restituisce incondizionatamente true. Ciò significa che non viene eseguito alcun controllo di autenticazione prima che il server elabori la richiesta. Quando un aggressore aggiunge il parametro di query ?page=gravitysmtp-settings, il metodo register_connector_data() del plugin popola i dati interni del connettore, e l'endpoint restituisce circa 365 KB di JSON contenente il rapporto completo del sistema del sito. I dati esposti includono chiavi API, segreti e token OAuth per ogni integrazione email configurata nel plugin. Gravity SMTP supporta Amazon SES, Google, Mailjet, Resend e Zoho, e le credenziali per uno di questi servizi appaiono nella risposta se sono state configurate. Un aggressore che ottiene quelle credenziali può inviare email per conto del sito compromesso, una capacità utile per campagne di phishing e compromissione di email aziendali. Il rapporto di sistema contiene anche la versione di WordPress, la versione di PHP e le estensioni caricate, la versione del server web, il percorso della root del documento, il tipo e la versione del server database, tutti i plugin attivi con i loro numeri di versione, il tema attivo e i nomi delle tabelle del database. Quell'informazione fornisce agli aggressori una mappa dettagliata dello stack software del sito, riducendo significativamente lo sforzo di ricognizione necessario per pianificare attacchi successivi contro vulnerabilità note in specifiche versioni di plugin o server. "L'esposizione di credenziali API di terze parti in tempo reale significa che un aggressore potrebbe abusare dei servizi email connessi del sito, mentre il rapporto di sistema dettagliato riduce significativamente lo sforzo richiesto per pianificare ulteriori attacchi contro il sito," hanno scritto i ricercatori di Wordfence nel loro avviso. Il volume di sfruttamento è aumentato bruscamente intorno al 6 giugno 2026, con Wordfence che ha bloccato più di 4 milioni di richieste in un solo giorno il 7 giugno. Il traffico di attacco è originato principalmente da un cluster di indirizzi IP che Wordfence ha pubblicato affinché gli amministratori li aggiungano alle liste di blocco. L'indicatore chiave di compromissione sono le richieste a /wp-json/gravitysmtp/v1/tests/mock-data nei log di accesso del server web, in particolare quelle contenenti il parametro di query ?page=gravitysmtp-settings. CrowdSec, la piattaforma di intelligence sulle minacce open-source, ha corroborato indipendentemente la cronologia. Ha implementato la rilevazione per CVE-2026-4020 il 22 maggio e ha osservato il primo sfruttamento nel mondo reale il 27 maggio. Entro il 1° giugno, l'attività era stata classificata come rumore di fondo, indicando che era stata integrata in routine di scansione automatizzate che esaminano i siti WordPress su larga scala. La velocità con cui lo sfruttamento è stato industrializzato riflette un modello più ampio nella sicurezza dei plugin di WordPress. La falla non richiede autenticazione, colpisce un plugin ampiamente installato e restituisce dati di alto valore in una singola richiesta GET, rendendola banale da automatizzare. L'ecosistema dei plugin di WordPress ha affrontato ripetute compromissioni della catena di fornitura nel 2026, inclusa un'attacco in cui 30 plugin acquistati su Flippa sono stati compromessi e sono rimasti inattivi per otto mesi prima dell'attivazione. La vulnerabilità di Gravity SMTP è distinta da quegli attacchi alla catena di fornitura in quanto non coinvolge codice malevolo iniettato da uno sviluppatore compromesso. È un semplice errore di codifica, un callback di autorizzazione che avrebbe dovuto verificare le credenziali dell'utente richiedente ma invece ha restituito true per ogni richiesta. La semplicità della falla rende notevole la sua sopravvivenza attraverso sviluppo, revisione e rilascio. L'esposizione delle credenziali API è particolarmente pericolosa perché quelle credenziali spesso persistono anche dopo che il plugin è stato aggiornato. L'aggiornamento alla versione 2.1.5 chiude l'endpoint vulnerabile, ma non revoca o ruota le chiavi API che potrebbero essere già state raccolte. Il furto di credenziali attraverso difetti software è un problema in accelerazione in tutto il settore, con ricerche recenti che mostrano che le credenziali API esposte vengono sfruttate entro pochi minuti dalla scoperta. L'avviso di Wordfence esorta i proprietari di siti che eseguono una versione vulnerabile di Gravity SMTP e che hanno configurato integrazioni email di terze parti a presumere una compromissione. La correzione raccomandata è aggiornare il plugin alla versione 2.1.5 o successiva, quindi ruotare immediatamente tutte le chiavi API, i segreti e i token OAuth configurati nei connettori email del plugin. Gli amministratori dovrebbero anche esaminare i file di log del server per richieste provenienti dagli indirizzi IP degli aggressori pubblicati. La CVE è stata pubblicata il 31 marzo 2026, due settimane dopo il rilascio della patch. Nonostante il periodo di tre mesi tra la disponibilità della patch e il picco di sfruttamento, molti siti rimangono vulnerabili. Il divario tra quando le patch diventano disponibili e quando le organizzazioni le implementano è uno dei problemi più persistenti nella sicurezza del software, e i plugin di WordPress sono particolarmente soggetti a questo perché molti operatori di siti non monitorano i changelog dei plugin o abilitano gli aggiornamenti automatici. Wordfence ha anche emesso un avviso separato questa settimana per CVE-2026-8713, una vulnerabilità critica di eliminazione arbitraria di file non autenticata nel plugin Avada Builder, installato su circa un milione di siti WordPress. Quella falla consente agli aggressori di eliminare file sul server attraverso un bug di traversamento del percorso, e l'eliminazione di wp-config.php può riportare un sito al suo stato iniziale, potenzialmente abilitando un takeover completo. Una patch per il difetto di Avada Builder è disponibile nella versione 3.15.4, e non è stato ancora osservato sfruttamento attivo di CVE-2026-8713. Wordfence non ha attribuito lo sfruttamento di Gravity SMTP a un attore o gruppo di minacce specifico. Il modello di scansione di massa da un piccolo cluster di indirizzi IP è coerente con il furto di credenziali opportunistico piuttosto che con un'intrusione mirata, sebbene le credenziali rubate possano essere vendute o condivise con operatori più sofisticati per attacchi successivi.