Una vulnerabilidad explotada activamente en el complemento Gravity SMTP para WordPress puede revelar información sobre la configuración de los sitios y las credenciales utilizadas para conectarse con servicios externos de correo electrónico.
La falla, identificada como CVE-2026-4020, afecta a todas las versiones de Gravity SMTP hasta la 2.1.4. El desarrollador corrigió el problema en la versión 2.1.5.
Gravity SMTP, desarrollado por Gravity Forms, cuenta con alrededor de 100.000 instalaciones activas. El plugin permite conectar un sitio WordPress con proveedores de correo para enviar notificaciones, mensajes de formularios y otras comunicaciones transaccionales.
Según una alerta publicada por Wordfence el 17 de junio, su cortafuegos había bloqueado más de 17 millones de intentos de explotar la vulnerabilidad. La actividad aumentó durante los primeros días de junio y superó los cuatro millones de solicitudes bloqueadas el 7 de junio.
La cifra representa solicitudes detectadas y bloqueadas en los sitios protegidos por Wordfence. No permite determinar cuántos sitios fueron atacados, cuántas solicitudes alcanzaron sistemas vulnerables ni cuántas credenciales fueron efectivamente obtenidas.
Un endpoint accesible sin autenticación
El problema se encuentra en un endpoint de la API REST empleado por el complemento para funciones internas de prueba.
En las versiones afectadas, la comprobación destinada a decidir si una solicitud está autorizada devuelve siempre un resultado positivo. Esto permite que cualquier visitante consulte el endpoint sin iniciar sesión ni disponer de una cuenta en el sitio.
Al añadir un parámetro específico a una solicitud HTTP, el servidor puede entregar un informe de aproximadamente 365 kilobytes en formato JSON. Ese informe contiene información como las versiones de PHP, WordPress y el servidor web; los complementos activos y sus versiones; el tema utilizado; detalles de la base de datos y nombres de tablas.
También puede incluir claves API, secretos y tokens OAuth configurados para las integraciones de correo electrónico. Entre los servicios mencionados por Wordfence se encuentran Amazon SES, Google, Mailjet, Resend y Zoho. La explotación requiere una única solicitud GET sin autenticación. Como no necesita modificar archivos ni crear cuentas, puede no producir las señales que habitualmente se buscan al investigar una intrusión. El principal registro disponible sería la solicitud almacenada en los registros de acceso del servidor web.
Riesgo para los servicios de correo
Las credenciales expuestas podrían permitir a un atacante utilizar las cuentas de correo vinculadas al sitio. También podrían emplearse para enviar mensajes utilizando la infraestructura y el dominio legítimo de la organización afectada.
El informe revela además la lista de complementos instalados y sus versiones. Esta información facilita la identificación de otras vulnerabilidades que podrían utilizarse en ataques posteriores. CrowdSec informó que comenzó a observar explotación efectiva el 27 de mayo. Para el 1 de junio había identificado 412 direcciones IP que intentaban aprovechar la falla y calificó la actividad como parte del tráfico automatizado habitual de internet, en lugar de una campaña limitada a objetivos específicos.
Actualización y sustitución de credenciales
Wordfence recomienda actualizar Gravity SMTP a la versión 2.1.5 o posterior. Los administradores que utilizaron una versión vulnerable con integraciones de correo configuradas deberían considerar que las claves API, secretos y tokens podrían haber quedado expuestos. Después de actualizar el complemento, deben sustituir esas credenciales desde cada proveedor conectado.
También se recomienda revisar los registros de acceso del servidor en busca de solicitudes dirigidas a:
/wp-json/gravitysmtp/v1/tests/mock-data
La revisión debería prestar especial atención a aquellas que incluyan el parámetro:
?page=gravitysmtp-settings
Los administradores deben examinar además la actividad registrada por sus servicios de correo para detectar envíos, accesos o autenticaciones desconocidos.
Diferencias en la clasificación
Wordfence asignó a la vulnerabilidad una puntuación CVSS de 5,3 sobre 10, correspondiente a una gravedad media. La ficha procedente de la National Vulnerability Database, reproducida en la base de avisos de GitHub, utiliza una puntuación de 7,5 y la clasifica como alta.
La diferencia no altera las versiones afectadas ni la recomendación de actualizar. La explotación activa y la posibilidad de revelar credenciales operativas hacen necesario tratar la vulnerabilidad con urgencia.
📬 Newsletter gratuito
