A falha no Gravity SMTP está sendo explorada ativamente por cibercriminosos em uma campanha de larga escala que já resultou em mais de 17 milhões de tentativas de exploração bloqueadas em sites WordPress ao redor do mundo. O caso acendeu um alerta urgente para administradores, desenvolvedores e profissionais de segurança, principalmente porque a vulnerabilidade permite a exposição de informações extremamente sensíveis relacionadas ao envio de e-mails e integrações de terceiros.
A vulnerabilidade, identificada como CVE-2026-4020, afeta versões vulneráveis do plugin Gravity SMTP, uma solução utilizada para configurar e gerenciar serviços de envio de e-mails em ambientes WordPress. O problema não permite apenas a coleta de informações do sistema, mas também pode expor chaves de API, segredos de autenticação e detalhes internos da infraestrutura do site.
Neste artigo, vamos explicar como a vulnerabilidade funciona, quais dados podem ser roubados pelos invasores, por que os ataques estão ocorrendo em escala massiva e quais medidas devem ser adotadas imediatamente para reduzir os riscos. Afinal, uma chave de API comprometida pode permitir desde o envio de spam até o abuso de serviços corporativos e prejuízos financeiros significativos.
Entendendo a falha CVE-2026-4020 no Gravity SMTP
A falha no Gravity SMTP está relacionada a um erro de implementação em um endpoint da API REST do WordPress criado pelo plugin.
Durante a análise técnica, pesquisadores descobriram que o mecanismo responsável por verificar permissões de acesso ao endpoint continha uma falha lógica crítica. Em vez de validar corretamente se o usuário possuía autorização para acessar informações sensíveis, a função retornava uma resposta positiva de forma incondicional.
Na prática, isso significa que qualquer pessoa capaz de enviar uma requisição especialmente construída ao endpoint vulnerável poderia obter informações internas do ambiente WordPress sem necessidade de autenticação.
O problema foi classificado como crítico justamente porque combina dois fatores extremamente perigosos:
- Exposição remota sem autenticação;
- Vazamento de informações sensíveis que podem facilitar ataques posteriores.
O parâmetro malicioso e o relatório do sistema
O vetor de exploração utiliza uma requisição HTTP GET contendo um parâmetro específico que aciona a geração de um relatório completo do sistema.
Quando explorado, o endpoint retorna um arquivo em formato JSON contendo aproximadamente 365 KB de informações detalhadas sobre o ambiente da aplicação.
Embora muitos ataques de exposição de dados revelem apenas informações básicas, neste caso o relatório entregue pelo plugin é significativamente mais abrangente.
Para um atacante, esse volume de dados representa uma verdadeira fonte de inteligência sobre a infraestrutura da vítima, permitindo identificar tecnologias utilizadas, serviços conectados e possíveis caminhos para ataques adicionais.
Quais dados os invasores conseguem roubar?
Os dados expostos pela vulnerabilidade no Gravity SMTP podem variar conforme a configuração do ambiente, mas os relatórios indicam a possibilidade de obtenção das seguintes informações:
- Versão do WordPress
- Versão do PHP
- Versões de plugins instalados
- Caminhos completos de diretórios do servidor
- Informações de configuração do ambiente
- Dados de diagnóstico do sistema
- Segredos de configuração
- Credenciais relacionadas ao envio de e-mails
- Chaves de API de serviços externos
Entre os serviços potencialmente afetados estão integrações com:
- Amazon SES
- Google Workspace
- Gmail SMTP
- Zoho Mail
- Microsoft 365
- Outros provedores de e-mail compatíveis
A exposição dessas credenciais pode permitir o uso indevido dos serviços por terceiros, envio de campanhas de spam, tentativas de phishing e até consumo indevido de recursos pagos vinculados à conta comprometida.
Campanhas de ataque massivas em andamento contra a falha no Gravity SMTP
Os dados divulgados por pesquisadores de segurança mostram que os ataques começaram a ganhar força em maio de 2026.
Poucas semanas depois, a atividade criminosa aumentou drasticamente. O maior pico registrado ocorreu em 6 de junho de 2026, quando foram observadas aproximadamente 4 milhões de requisições maliciosas em um único dia.
Desde o início da campanha, os sistemas de proteção monitorados já registraram mais de 17 milhões de tentativas de exploração bloqueadas, demonstrando que os invasores estão realizando varreduras automatizadas em larga escala para localizar instalações vulneráveis do plugin.
O comportamento observado sugere o uso de ferramentas automatizadas capazes de identificar rapidamente sites WordPress que utilizam versões vulneráveis do Gravity SMTP.
Administradores de sistemas devem analisar seus registros de acesso e verificar tentativas de conexão originadas de endereços IP suspeitos associados às campanhas identificadas pelos pesquisadores.
Entre os IPs apontados nos relatórios de segurança estão:
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.177.72.201
- 91.92.247.41
Mesmo que esses endereços sejam bloqueados, é importante destacar que campanhas desse tipo normalmente utilizam múltiplas origens e infraestrutura rotativa, tornando a atualização do plugin uma medida muito mais eficaz do que depender apenas de bloqueios em firewall.
Como proteger e remediar seu site WordPress
A medida mais importante para corrigir a falha no Gravity SMTP é atualizar imediatamente o plugin para a versão 2.1.5 ou superior, onde o problema foi corrigido pelos desenvolvedores.
Entretanto, existe um detalhe fundamental que muitos administradores podem ignorar.
Se o site permaneceu vulnerável durante o período em que a campanha estava ativa e possuía integrações configuradas com provedores de e-mail, simplesmente atualizar o plugin pode não ser suficiente.
Nesse cenário, existe a possibilidade de que as credenciais já tenham sido expostas e coletadas por terceiros.
Por esse motivo, especialistas recomendam executar as seguintes ações:
Atualize imediatamente o plugin
Verifique a versão instalada e realize a atualização para a versão corrigida disponibilizada pelos desenvolvedores.
Rotacione todas as credenciais expostas
Caso o plugin tenha sido utilizado com serviços externos, altere imediatamente:
- Chaves de API
- Tokens de autenticação
- Senhas de integração SMTP
- Credenciais de serviços de e-mail
Essa etapa é considerada essencial para impedir o uso indevido de informações eventualmente comprometidas.
Analise os logs do servidor
Examine registros de acesso em busca de:
- Requisições suspeitas ao endpoint vulnerável
- Picos incomuns de tráfego
- Consultas automatizadas vindas de IPs desconhecidos
- Atividades relacionadas à exportação de dados
Reforce a segurança do WordPress
Além da correção específica, aproveite o momento para revisar a postura geral de segurança do ambiente:
- Atualize plugins e temas regularmente
- Remova extensões abandonadas
- Utilize autenticação multifator
- Implante soluções de firewall para aplicações web
- Monitore atividades suspeitas continuamente
A exposição de chaves de API transforma uma falha simples em uma ameaça grave
O caso da falha no Gravity SMTP demonstra como um erro aparentemente simples de validação de permissões pode se transformar em um problema de grandes proporções.
Quando informações como chaves de API, credenciais SMTP e segredos de configuração ficam acessíveis sem autenticação, os atacantes ganham uma vantagem significativa para comprometer serviços, abusar de recursos corporativos e preparar ataques mais sofisticados.
Com mais de 17 milhões de tentativas de exploração registradas, a vulnerabilidade CVE-2026-4020 já se consolidou como uma das campanhas mais agressivas direcionadas ao ecossistema WordPress em 2026.
Se você utiliza o plugin Gravity SMTP, verifique imediatamente sua versão instalada, revise suas integrações e adote as medidas de mitigação recomendadas. Compartilhe este alerta com outros administradores e desenvolvedores para reduzir a superfície de ataque da comunidade WordPress e continue acompanhando o SempreUpdate para mais análises e alertas de segurança.