⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão explorando uma falha de segurança corrigida recentemente que afeta o Gravity SMTP, um plugin do WordPress instalado em cerca de 100.000 sites.
A vulnerabilidade, rastreada como CVE-2026-4020 (pontuação CVSS: 5,3), é uma falha de divulgação de informações de gravidade média que pode permitir que invasores não autenticados extraiam dados confidenciais, como dados de configuração, chaves de API, segredos e tokens OAuth configurados para as integrações de e-mail do plug-in.
“Isso se deve a um endpoint da API REST registrado em /wp-json/gravitysmtp/v1/tests/mock-data com um permission_callback que retorna incondicionalmente verdadeiro, permitindo que qualquer visitante não autenticado o acesse”, disse Wordfence.
"Quando o parâmetro de consulta ?page=gravitysmtp-settings é anexado, o método register_connector_data() do plug-in preenche os dados internos do conector, fazendo com que o endpoint retorne aproximadamente 365 KB de JSON contendo o relatório completo do sistema."
Como resultado, um invasor não autenticado pode usar esse problema como arma para recuperar uma ampla gama de informações, incluindo -
Versão PHP
Extensões carregadas
Versão do servidor web
Caminho raiz do documento
Tipo e versão do servidor de banco de dados
Versão WordPress
Todos os plugins ativos com versões
Tema ativo
Detalhes de configuração do WordPress
Nomes de tabelas de banco de dados
Chaves/tokens de API configurados no plug-in, como Amazon SES, Google, Mailjet, Resend e Zoho
Os invasores poderiam então aproveitar essa exposição para coletar credenciais que poderiam ser usadas de forma abusiva para enviar e-mails em nome do site, bem como coletar detalhes extensos da pilha de software do site, o que poderia funcionar como base para ataques subsequentes.
“Tal como acontece com todas as vulnerabilidades de exposição de informações confidenciais, o impacto depende de quais dados são expostos”, acrescentou Wordfence. “Neste caso, a exposição de credenciais API de terceiros em tempo real significa que um invasor pode abusar dos serviços de e-mail conectados ao site, enquanto o relatório detalhado do sistema reduz significativamente o esforço necessário para planejar novos ataques contra o site”.
Um patch para a vulnerabilidade foi lançado na versão 2.1.5 do plugin. Os malfeitores já atacaram o defeito enviando solicitações HTTP GET não autenticadas para o endpoint vulnerável da API REST com o parâmetro de consulta "?page=gravitysmtp-settings", fazendo com que o servidor retorne informações valiosas sobre o site sem exigir qualquer autenticação.
O Wordfence bloqueou mais de 17 milhões de tentativas de exploração direcionadas ao CVE-2026-4020 até o momento, com a atividade inicial começando no início de maio de 2026, antes de aumentar dramaticamente por volta de 6 de junho de 2026, atingindo um máximo de mais de 4.000.000 de solicitações um dia depois. Os esforços de exploração originaram-se dos seguintes endereços IP -
45.148.10.95
193.32.162.60
176.65.148.139
173.199.90.188
45.148.10.120
185.8.107.155
185.8.106.37
185.8.106.92
185.8.106.145
176.65.148.30
Os proprietários de sites que executam uma versão vulnerável do plug-in Gravity SMTP e configuraram integrações de e-mail de terceiros devem assumir o compromisso e alternar as credenciais após atualizar o plug-in para a versão mais recente o mais rápido possível. Também é aconselhável revisar os arquivos de log do servidor em busca de solicitações originadas dos endereços IP mencionados acima para quaisquer solicitações suspeitas ao endpoint da API.
A vulnerabilidade, rastreada como CVE-2026-4020 (pontuação CVSS: 5,3), é uma falha de divulgação de informações de gravidade média que pode permitir que invasores não autenticados extraiam dados confidenciais, como dados de configuração, chaves de API, segredos e tokens OAuth configurados para as integrações de e-mail do plug-in.
“Isso se deve a um endpoint da API REST registrado em /wp-json/gravitysmtp/v1/tests/mock-data com um permission_callback que retorna incondicionalmente verdadeiro, permitindo que qualquer visitante não autenticado o acesse”, disse Wordfence.
"Quando o parâmetro de consulta ?page=gravitysmtp-settings é anexado, o método register_connector_data() do plug-in preenche os dados internos do conector, fazendo com que o endpoint retorne aproximadamente 365 KB de JSON contendo o relatório completo do sistema."
Como resultado, um invasor não autenticado pode usar esse problema como arma para recuperar uma ampla gama de informações, incluindo -
Versão PHP
Extensões carregadas
Versão do servidor web
Caminho raiz do documento
Tipo e versão do servidor de banco de dados
Versão WordPress
Todos os plugins ativos com versões
Tema ativo
Detalhes de configuração do WordPress
Nomes de tabelas de banco de dados
Chaves/tokens de API configurados no plug-in, como Amazon SES, Google, Mailjet, Resend e Zoho
Os invasores poderiam então aproveitar essa exposição para coletar credenciais que poderiam ser usadas de forma abusiva para enviar e-mails em nome do site, bem como coletar detalhes extensos da pilha de software do site, o que poderia funcionar como base para ataques subsequentes.
“Tal como acontece com todas as vulnerabilidades de exposição de informações confidenciais, o impacto depende de quais dados são expostos”, acrescentou Wordfence. “Neste caso, a exposição de credenciais API de terceiros em tempo real significa que um invasor pode abusar dos serviços de e-mail conectados ao site, enquanto o relatório detalhado do sistema reduz significativamente o esforço necessário para planejar novos ataques contra o site”.
Um patch para a vulnerabilidade foi lançado na versão 2.1.5 do plugin. Os malfeitores já atacaram o defeito enviando solicitações HTTP GET não autenticadas para o endpoint vulnerável da API REST com o parâmetro de consulta "?page=gravitysmtp-settings", fazendo com que o servidor retorne informações valiosas sobre o site sem exigir qualquer autenticação.
O Wordfence bloqueou mais de 17 milhões de tentativas de exploração direcionadas ao CVE-2026-4020 até o momento, com a atividade inicial começando no início de maio de 2026, antes de aumentar dramaticamente por volta de 6 de junho de 2026, atingindo um máximo de mais de 4.000.000 de solicitações um dia depois. Os esforços de exploração originaram-se dos seguintes endereços IP -
45.148.10.95
193.32.162.60
176.65.148.139
173.199.90.188
45.148.10.120
185.8.107.155
185.8.106.37
185.8.106.92
185.8.106.145
176.65.148.30
Os proprietários de sites que executam uma versão vulnerável do plug-in Gravity SMTP e configuraram integrações de e-mail de terceiros devem assumir o compromisso e alternar as credenciais após atualizar o plug-in para a versão mais recente o mais rápido possível. Também é aconselhável revisar os arquivos de log do servidor em busca de solicitações originadas dos endereços IP mencionados acima para quaisquer solicitações suspeitas ao endpoint da API.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #exploram #bug #do #plugin #gravity #smtp #wordpress #para #expor #chaves #de #api
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário