Con solo añadir el flag «settings»: fallo en el plugin Gravity SMTP expuso las claves API de 100.000 sitios web
Una petición aparentemente inocua ocultaba una puerta abierta que nadie había cerrado.
A veces la filtración no comienza con la intrusión del panel de administración, sino con una solicitud de servicio expuesta, y es precisamente ese mecanismo el que ahora utilizan los atacantes contra sitios en WordPress con el complemento Gravity SMTP. La vulnerabilidad CVE-2026-4020 (7.5 por la escala CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) permite, sin iniciar sesión en el sistema, obtener datos sensibles de la configuración de integraciones de correo.
El problema afecta a Gravity SMTP, instalado en aproximadamente 100.000 sitios. El complemento se usa para enviar correo mediante servicios externos, incluidos Amazon SES, Google, Mailjet, Resend y Zoho. Aunque el fallo no obtuvo la calificación más alta de peligrosidad, el daño real depende de qué claves y tokens se almacenaban en la configuración de cada sitio.
El mecanismo de ataque resultó ser muy sencillo. En el complemento existe la dirección REST API /wp-json/gravitysmtp/v1/tests/mock-data, que acepta solicitudes de cualquier visitante. Si a la petición se añade el parámetro ?page=gravitysmtp-settings, el servidor devuelve un gran archivo JSON con un informe del sistema, donde pueden aparecer las versiones de PHP, WordPress y del servidor web, la lista de complementos activos, el tema, los parámetros de la base de datos y las credenciales de los servicios de correo.
Esa filtración no otorga control directo sobre el sitio, pero reduce considerablemente el umbral para el siguiente ataque. Las claves API obtenidas permiten enviar correos en nombre del sitio a través de los servicios de correo conectados, y el informe detallado del entorno de software facilita seleccionar métodos de ataque adicionales.
Wordfence ya ha bloqueado más de 17 millones de intentos de explotación de CVE-2026-4020. La primera actividad se registró a principios de mayo de 2026, el aumento abrupto comenzó alrededor del 6 de junio y al día siguiente el número de solicitudes superó los 4 millones en 24 horas. Los atacantes enviaban solicitudes HTTP GET a la dirección API vulnerable y obtenían datos sin verificación de permisos de acceso.
Los desarrolladores corrigieron la vulnerabilidad en Gravity SMTP 2.1.5. Se recomienda a los propietarios de sitios con versiones vulnerables y servicios de correo externos conectados que actualicen el complemento, reemplacen las claves API y los tokens, y revisen los registros del servidor en busca de solicitudes a la dirección API indicada y de accesos desde las direcciones IP que Wordfence enumeró.