Falha em plugin do WordPress expõe chaves de API a ataques hackers
Uma falha de segurança recentemente corrigida no plugin Gravity SMTP para WordPress está sendo ativamente explorada por agentes maliciosos, colocando em risco cerca de 100 mil sites que utilizam a ferramenta. A vulnerabilidade, identificada como CVE-2026-4020, permite que invasores não autenticados acessem informações sensíveis, incluindo dados de configuração, chaves de API e tokens OAuth usados nas integrações de e-mail do plugin.
O problema técnico reside em um endpoint da API REST do plugin, que aceita requisições sem qualquer verificação de permissão. Ao adicionar o parâmetro “?page=gravitysmtp-settings” à requisição, o método register_connector_data() é acionado, retornando um relatório completo do sistema em formato JSON, com aproximadamente 365 KB de dados. Entre as informações expostas estão detalhes do ambiente PHP, versões de plugins e temas ativos, configurações do WordPress, nomes de tabelas do banco de dados e credenciais de serviços de e-mail como Amazon SES, Google, Mailjet, Resend e Zoho.
Esse vazamento de dados pode ser explorado para envio de e-mails fraudulentos em nome do site e para obtenção de informações detalhadas sobre a infraestrutura, facilitando ataques subsequentes. Segundo a Wordfence, a exposição de credenciais ativas de terceiros representa um risco significativo, pois reduz drasticamente o esforço necessário para comprometer ainda mais o ambiente afetado.
Desde o início de maio de 2026, mais de 17 milhões de tentativas de exploração da falha foram bloqueadas, com um pico de mais de 4 milhões de requisições em um único dia. Os ataques têm origem em diversos endereços IP, indicando ação coordenada de múltiplos agentes. Para mitigar o risco, recomenda-se que administradores atualizem imediatamente o plugin para a versão 2.1.5, troquem as credenciais de integrações de e-mail e revisem os logs do servidor em busca de acessos suspeitos ao endpoint vulnerável. O caso reforça a importância de manter plugins atualizados e monitorar continuamente a segurança de aplicações web.
Fonte original: thehackernews.com
Acessar publicação original
Resumo editorial criado automaticamente pela Eletrônica Americana com base em fontes internacionais públicas, com finalidade informativa.
Além de se manter informado, você pode aprofundar seus conhecimentos em nossos guias de compra, onde comparamos as melhores opções do mercado para facilitar sua escolha. Para uma análise técnica, confira nossas reviews completas com testes reais de desempenho. E se você está em busca do melhor preço, não deixe de acompanhar nossa seleção de ofertas e descontos atualizados diariamente nas principais lojas.
