Atacantes estão explorando ativamente o CVE-2026-4020, uma falha de divulgação de informações no plugin Gravity SMTP para WordPress, instalado em cerca de 100 mil sites. A vulnerabilidade permite que visitantes sem autenticação extraiam chaves de API, segredos e tokens OAuth configurados nas integrações de e-mail. A Wordfence já bloqueou mais de 17 milhões de tentativas de exploração desde maio de 2026.
A falha foi corrigida na versão 2.1.5 do plugin, mas a janela de exposição atraiu uma onda massiva de ataques. Pesquisadores da Wordfence classificaram o problema como severidade média (CVSS 5.3), embora o impacto real dependa diretamente das credenciais configuradas em cada instalação.
Como o ataque funciona
O vetor de ataque explora um endpoint da REST API registrado em /wp-json/gravitysmtp/v1/tests/mock-data. O defeito está no callback de permissão: a função permission_callback retorna incondicionalmente o valor true, permitindo que qualquer visitante anônimo acesse o recurso sem login.
Quando o atacante adiciona o parâmetro ?page=gravitysmtp-settings à requisição HTTP GET, o método register_connector_data() do plugin é acionado e povoa dados internos do conector. O servidor então devolve aproximadamente 365 KB de JSON contendo o System Report completo do WordPress — incluindo chaves de API de provedores de e-mail configurados no plugin.
Dados expostos pela falha
O relatório vazado entrega um inventário detalhado do ambiente do site alvo: versão do PHP, extensões carregadas, versão do servidor web, caminho raiz do documento, tipo e versão do banco de dados, versão do WordPress, todos os plugins ativos com versões, tema ativo, configurações do WordPress e nomes das tabelas do banco. A tabela abaixo resume os serviços de e-mail cujas credenciais ficam acessíveis:
| Serviço de e-mail | Credencial exposta | Risco principal |
|---|---|---|
| Amazon SES | Chave de acesso e secret | Envio de e-mails em massa |
| Google (Workspace/Gmail) | Token OAuth e client secret | Sequestro de conta Google |
| Mailjet | API key e secret | Phishing em nome do domínio |
| Resend | API key | Abuso de cota de envio |
| Zoho | Token de autenticação | Acesso ao painel Zoho |
Com as chaves comprometidas, um atacante pode enviar e-mails fraudulentos em nome do site legítimo, explorar a credibilidade do domínio em campanhas de phishing e mapear a pilha de software para planejar ataques subsequentes — information disclosure é um trampolim, não um fim.
Cronologia da exploração ativa
A Wordfence documenta uma curva de ataque em aceleração. A exploração começou de forma tímida e cresceu a milhões de requisições diárias em poucas semanas:
- Início de maio de 2026: primeiras tentativas de exploração do endpoint detectadas.
- 6 de junho de 2026: atividade dispara de forma abrupta, marcando o início da onda massiva.
- 7 de junho de 2026: pico de mais de 4 milhões de requisições maliciosas em um único dia.
- 20 de junho de 2026: total acumulado ultrapassa 17 milhões de tentativas bloqueadas.
Os ataques partiram de pelo menos dez endereços IP, entre eles 45.148.10.95, 193.32.162.60, 176.65.148.139 e 185.8.106.92, usados em varreduras automatizadas contra sites WordPress expostos na internet.
Como se proteger agora
A correção exige ação imediata em três frentes. Primeiro, atualize o plugin Gravity SMTP para a versão 2.1.5 ou superior em todos os sites. Segundo, assuma comprometimento das credenciais e rotacione todas as chaves de API e tokens OAuth configurados — Amazon SES, Google, Mailjet, Resend e Zoho — mesmo que nenhum log mostre acesso suspeito.
Por fim, audite os logs do servidor web em busca de requisições para /wp-json/gravitysmtp/v1/tests/mock-data contendo o parâmetro ?page=gravitysmtp-settings, especialmente aquelas originadas dos IPs listados acima. Caso encontre acessos bem-sucedidos, revise também os logs dos provedores de e-mail em busca de envios anômalos, listas de bloqueio e relatórios DMARC. Falhas em plugins de SMTP seguem um padrão recorrente — o Everest Forms e o Avada Builder foram alvos similares recentemente.