Vol. 2 (abr. 2026) | Pp. 164–166 | ISSN 3086-6103
Alerta: Gravity SMTP expõe dados sensíveis em sites WordPress (CVE-2026-4020)
Uma falha de exposição de informações sensíveis no plugin Gravity SMTP, usado em cerca de 100 mil sites WordPress [1], está sendo ativamente explorada por atacantes. O problema permite que visitantes não autenticados acessem dados do sistema, incluindo chaves de API, tokens OAuth e outras informações usadas nas integrações de e-mail.
A vulnerabilidade foi corrigida, mas algumas versões em produção permanecem afetadas. O caso é identificado como CVE-2026-4020 [2], com pontuação CVSS atual de 7.5, classificada como HIGH. Embora a pontuação CVSS atribuída à vulnerabilidade tenha sido classificada inicialmente como média, a pontuação subiu recentemente refletindo o impacto prático da falha, que expõe credenciais reutilizáveis em novos ataques.
Como a ameaça funciona
O plugin tem como dependência uma biblioteca também utilizada por outros produtos da Gravity Forms [3] (empresa por trás do plugin). A biblioteca registra um endpoint em /wp-json/gravitysmtp/v1/tests/mock-data, que aceitava requisições sem autenticação. Em certas condições, a resposta podia retornar um relatório detalhado do sistema [4], incluindo versão do PHP, extensões carregadas, versão do servidor web, caminho do document root, tipo e versão do banco de dados, versão do WordPress, plugins ativos com suas versões, tema ativo, detalhes de configuração do WordPress, nomes de tabelas e chaves ou tokens de API armazenados no plugin.
O comportamento do endpoint pode ser observado no trecho abaixo:
register_rest_route( $this->rest_namespace, '/tests/mock-data', array(
'methods' => 'GET',
'callback' => array( $self, 'config_mocks_endpoint' ),
'permission_callback' => function () {
return true;
},
) );
Esse trecho de código [1] chama a função config_mocks_endpoint() que retorna as informações de configuração
public function config_mocks_endpoint() {
define( 'GFORMS_DOING_MOCK', true );
$data = $this->container->get( self::CONFIG_COLLECTION )->handle( false );
return $data;
}
Na prática, o ataque é simples: o atacante envia uma requisição GET não autenticada ao endpoint exposto incluindo o parâmetro de consulta ?page=gravitysmtp-settings, para então analisar o JSON retornado. Esse tipo de falha é especialmente perigoso porque não depende de interação do usuário nem de acesso privilegiado ao painel.
Impacto
O Wordfence informou que seu firewall já bloqueou mais de 17 milhões de tentativas de exploração ligadas a essa vulnerabilidade, o que indica uma tentativa de abuso em larga escala.
O risco principal não é apenas a leitura indevida de dados, mas o uso desses dados em etapas seguintes da invasão. Com chaves de API, tokens OAuth e credenciais de SMTP expostos, um atacante pode enviar e-mails em nome da vítima, comprometer integrações legítimas, afetar a reputação do domínio e usar as informações coletadas para avançar lateralmente no ambiente.
Esse caso mostra como plugins amplamente distribuídos continuam sendo alvos, uma vez que um único componente vulnerável pode afetar uma base grande de sites ao mesmo tempo.
Versões afetadas e corrigidas
A atualização com a correção da CVE-2026-4020 foi lançada no dia 25 de março de 2026 [5], protegendo as seguintes versões.
| Versões Vulneráveis | Versões Corrigidas |
|---|---|
| 2.1.4 ou inferior | 2.1.5 ou superior |
Recomendações
A recomendação mais segura é atualizar imediatamente para a versão 2.1.5 ou superior e verificar logs em busca de requisições suspeitas. Em ambientes que já possam ter sido atingidos, também é indicado revogar e recriar credenciais expostas nas configurações de SMTP.
Referências
Tags: ataques, Supply Chain, Wordpress.
Categorias: Alerta, Ataques, CVE, Supply Chain, Wordpress.
