El plugin Gravity SMTP para WordPress, instalado en aproximadamente 100 000 sitios, está siendo explotado de forma masiva a través de la vulnerabilidad CVE-2026-4020 (CVSS 5.3). A pesar de la calificación media en la escala CVSS, el riesgo real de esta vulnerabilidad es significativamente superior a la puntuación base: un atacante no autenticado puede, con una única petición HTTP, obtener las claves API de los servicios de correo, los tokens OAuth y el informe completo del sistema del sitio. Según datos Wordfence, se han bloqueado más de 17 millones de intentos de explotación. Los propietarios de los sitios afectados deben actualizar de inmediato el plugin a la versión 2.1.5 y rotar todas las credenciales de las integraciones de correo.
Aspectos técnicos de la vulnerabilidad
El origen del problema es un endpoint REST API registrado en la ruta /wp-json/gravitysmtp/v1/tests/mock-data. Como señalan los investigadores de Wordfence, el parámetro permission_callback de este endpoint devuelve incondicionalmente true, lo que desactiva por completo la comprobación de autenticación. Cualquier visitante puede acceder a él sin ningún tipo de credenciales.
Al añadir el parámetro de consulta ?page=gravitysmtp-settings se ejecuta el método register_connector_data(), que rellena los datos internos de los conectores. Como resultado, el endpoint devuelve aproximadamente 365 KB de datos JSON que contienen un informe completo del sistema. El volumen de información expuesta es crítico:
- Claves API y tokens de los servicios de correo — Amazon SES, Google, Mailjet, Resend, Zoho
- Versión de PHP y extensiones cargadas
- Versión del servidor web y ruta al directorio raíz
- Tipo y versión del servidor de bases de datos, nombres de tablas
- Versión de WordPress, lista de todos los plugins activos con sus versiones, y el tema activo
- Detalles de configuración WordPress
En la práctica, una sola petición GET no autenticada proporciona al atacante un mapa completo del stack tecnológico del sitio y credenciales válidas para servicios externos. Esto convierte una vulnerabilidad con una puntuación CVSS formalmente media en una amenaza grave: el atacante obtiene no solo información, sino claves de acceso operativas a la infraestructura de correo.
Alcance y cronología de la explotación
Según la telemetría Wordfence, el escaneo del endpoint vulnerable comenzó a principios de mayo de 2026. La actividad aumentó bruscamente en torno al 6 de junio de 2026, alcanzando su pico — más de 4 000 000 de peticiones al día — al día siguiente. En total, Wordfence ha registrado y bloqueado más de 17 millones de intentos de explotación.
Los ataques consisten en simples peticiones HTTP GET al endpoint vulnerable con el parámetro ?page=gravitysmtp-settings. El bajo umbral de entrada — ausencia de necesidad de autenticación, cadenas de explotación complejas o herramientas especializadas — explica el carácter tan masivo del escaneo.
Indicadores de compromiso
Wordfence ha identificado las siguientes direcciones IP como fuentes de los ataques:
- 45.148.10.95
- 45.148.10.120
- 193.32.162.60
- 176.65.148.139
- 176.65.148.30
- 173.199.90.188
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
La característica agrupación de direcciones en las subredes 185.8.106.0/24, 185.8.107.0/24, 45.148.10.0/24 y 176.65.148.0/24 indica el uso de un conjunto limitado de proveedores de hosting o infraestructura VPS para un escaneo coordinado.
Evaluación del impacto
Las consecuencias de una explotación satisfactoria van más allá de una fuga de información típica. Al obtener claves API válidas de los servicios de correo, un atacante puede enviar correos electrónicos en nombre del sitio comprometido. Esto abre la puerta a campañas de phishing, distribución de malware a través de dominios de confianza y compromiso de la correspondencia empresarial.
El informe de sistema detallado — versiones de todos los componentes del stack, lista de plugins, estructura de la base de datos — reduce significativamente el esfuerzo necesario para preparar ataques dirigidos. El atacante puede seleccionar exploits para versiones concretas del software instalado sin realizar una labor adicional de reconocimiento.
Los sitios que corren mayor riesgo son aquellos que utilizan Gravity SMTP con integraciones configuradas de Amazon SES, Google Workspace, Mailjet, Resend o Zoho — son precisamente sus credenciales las que aparecen en el informe expuesto.
Recomendaciones de respuesta
- Actualice de inmediato el plugin Gravity SMTP a la versión 2.1.5, en la que, según Wordfence, se ha corregido la vulnerabilidad.
- Asuma una posible brecha, si el plugin se utilizaba con integraciones de correo configuradas antes de la actualización. Rote todas las claves API y tokens de Amazon SES, Google, Mailjet, Resend, Zoho y otros servicios conectados.
- Revise los registros del servidor en busca de peticiones GET a la ruta
/wp-json/gravitysmtp/v1/tests/mock-data, especialmente con el parámetro?page=gravitysmtp-settings. Preste atención a las peticiones procedentes de las direcciones IP mencionadas anteriormente. - Bloquee las IP indicadas a nivel de WAF o de servidor web.
- Compruebe los registros de los servicios de correo en busca de envíos no autorizados realizados mediante credenciales comprometidas.
Este incidente demuestra que una calificación CVSS de 5.3 no refleja el riesgo real cuando los datos expuestos incluyen cuentas válidas de servicios externos. Para los propietarios de sitios que utilizan Gravity SMTP es crucial no limitarse a actualizar el plugin: sin la rotación de todas las claves y tokens de las integraciones de correo, las credenciales que los atacantes hayan extraído previamente seguirán siendo válidas y podrán utilizarse para ataques con independencia de que la propia vulnerabilidad se haya corregido.
