DeafNews
// 2 ZERO-DAY · 3 CVE · 3 EXPLOIT NELLE ULTIME 24H
Vulnerabilità EXPLOIT

Gravity SMTP: 17M attacchi sfruttano bug info-disclosure

Published: Updated: By DeafSuite team 7 min read Vulnerabilità
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CVE-2026-4020 nel plugin WordPress Gravity SMTP: attacchi in corso, credenziali email esposte e nessuna traccia forense. Patch disponibile dal 17 marzo.

Threat actor attivamente sfruttano CVE-2026-4020, vulnerabilità di information disclosure nel plugin WordPress Gravity SMTP, per estrarre credenziali di servizi email e blueprint dell'infrastruttura senza lasciare tracce sui file. La patch è disponibile dalla versione 2.1.5 rilasciata il 17 marzo 2026, ma l'ondata di exploit è esplosa tra il 7 e l'11 giugno con picchi di 4 milioni di richieste bloccate in un solo giorno. Il pericolo è duplice: la facilità di accesso anonimo al dato e l'impossibilità di rilevare l'intrusione senza un'analisi proattiva dei log.

Punti chiave
  • L'endpoint REST /wp-json/gravitysmtp/v1/tests/mock-data restituisce circa 365 KB di JSON con API key, token OAuth e dettagli di sistema senza autenticazione, per via di un permission_callback che restituisce incondizionatamente true.
  • Wordfence ha bloccato oltre 17 milioni di tentativi di exploit, con un picco di 4 milioni il 7 giugno 2026, mentre CrowdSec ha rilevato 412 IP distinti attivi tra il 27 maggio e il 1° giugno.
  • CrowdSec classifica l'83% delle intenzioni come "infrastructure takeover" contro il 17% di furto dati puro: le credenziali email sono un ponte verso compromissioni maggiori.
  • Il CVSS 5.3 classifica la falla come Medium, ma la combinazione di exploit zero-touch, assenza di artefatti forensi e disponibilità pubblica di template Nuclei ne amplifica il rischio effettivo oltre la scala formale.
"A WordPress mail plugin should not publish your infrastructure blueprint" — CrowdSec

Il meccanismo: come una riga di codice apre l'infrastruttura

SentinelOne ha analizzato la radice architetturale della falla. Il plugin Gravity SMTP, che supera le 100.000 installazioni attive, registra un endpoint REST API con un permission_callback progettato per verificare i permessi utente. Invece di interrogare le capability di WordPress, la funzione restituisce true in ogni caso. L'aggiunta del parametro ?page=gravitysmtp-settings all'endpoint completo attiva la risposta: un oggetto JSON di circa 365 KB che SentinelOne classifica come CWE-200 (Information Exposure).

Il contenuto del report include chiavi API e secret per Amazon SES, Google Workspace, Mailjet, Resend e Zoho; token OAuth; versione PHP ed estensioni caricate; versione del server web, del database e di WordPress; elenco dei plugin e temi attivi. È un profilo completo dell'host, sufficiente a pianificare attacchi successivi con minimo sforzo di ricognizione.

La scala dell'attacco: numeri da campagna automatizzata

La telemetria indipendente convergenti disegna una campagna strutturata, non episodica. Wordfence ha rilevato oltre 17 milioni di tentativi bloccati, con distribuzione temporale che mostra un'accelerazione netta a inizio giugno. Il 7 giugno 2026 il conteggio ha toccato i 4 milioni di richieste in 24 ore. GBHackers ha pubblicato IOC granulari: l'indirizzo 45.148.10.95 ha generato da solo oltre 642.000 richieste bloccate, seguito da 193.32.162.60 con oltre 586.000. Wordfence ha distribuito le regole firewall premium il 5 maggio 2026 e quelle gratuite il 4 giugno, lasciando una finestra di esposizione differenziata per le installazioni non a pagamento.

CrowdSec, con dati raccolti tra il 27 maggio e il 1° giugno, ha catalogato 412 IP distinti e classificato l'attività come "Background Noise", termine tecnico che indica automazione routinaria invece di operazioni mirate. La geografia degli attacchi punta verso Francia, Paesi Bassi e Stati Uniti. La segmentazione delle vittime mostra il 55% in ambienti di commercio elettronico e il 39% in piccole imprese e uffici domestici (SOHO), categorie con minori risorse per il monitoraggio proattivo.

Perché Medium non significa gestibile

Il punteggio CVSS 5.3 riflette la natura read-only della vulnerabilità: nessuna esecuzione remota di codice, nessuna modifica di file, nessuna elevazione di privilegi diretta. Ma questa stessa caratteristica annulla i tradizionali meccanismi di rilevamento. Un attacco riuscito non lascia file malevoli, non altera timestamp, non genera processi anomali su disco. L'unica traccia risiede nei log del server web e nelle chiamate API, spesso conservati per periodi brevi o mai analizzati sui sistemi WordPress gestiti da utenti non specializzati.

Wordfence ha messo in evidenza la conseguenza operativa: "The exposure of live third-party API credentials means an attacker could abuse the site's connected email services, while the detailed system report significantly lowers the effort required to plan further attacks against the site". Le credenziali rubate sono immediatamente utilizzabili: invio di phishing con reputazione compromessa dell'host legittimo, abuso di quota di servizi cloud a pagamento, o pivoting verso altri sistemi dove le stesse credenziali sono riutilizzate.

Cosa fare adesso

  • Aggiornare immediatamente Gravity SMTP alla versione 2.1.5 o successiva; la patch rilasciata il 17 marzo 2026 corregge il permission_callback dell'endpoint REST.
  • Verificare nei log del server web richieste GET all'endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings; la presenza di chiamate con risposta 200 da IP non autorizzati indica esposizione avvenuta.
  • Ruotare tutte le credenziali API e OAuth dei provider email configurati nel plugin (Amazon SES, Google, Mailjet, Resend, Zoho); la fonte non documenta abuso confermato, ma l'esposizione è verificata.
  • Disabilitare l'endpoint di test se non necessario, o applicare controlli di accesso a livello di server web per intercettare richieste non autenticate prima che raggiungano WordPress.

Il ritardo sistemico dell'ecosistema WordPress

L'intervallo di tre mesi tra il rilascio della patch e l'esplosione degli exploit illustra una dinamica ricorrente nel sistema dei plugin WordPress. Il 17 marzo 2026 la versione 2.1.5 era disponibile; il 30 marzo è avvenuta la disclosure pubblica. L'attività massiccia è iniziata a maggio-giugno. Non emerge dal dossier alcuna comunicazione diretta del vendor (RocketGenius/Gravity Forms) agli utenti oltre il changelog, né meccanismi di aggiornamento forzato. La combinazione di installazioni gratuite con ritardo nelle regole firewall e di ambienti commerciali con attenzione inferiore alla sicurezza applicativa ha creato il terreno per una campagna a basso costo e alto rendimento.

Il caso Gravity SMTP non è un'eccezione di severità CVSS, ma una conferma: nella valutazione del rischio reale, la metrica formale conta meno della combinazione tra facilità di exploit, impossibilità di rilevamento e valore del dato esposto. Un punteggio Medium può nascondere una breccia critica quando nessuno sta guardando i log.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • LiteSpeed cPanel: due CVE in KEV, rischio hosting condiviso
  • ZDI-26-358: Allegra patcha XSS nel metodo downloadAttachment
  • usbliter8: exploit unpatchabile colpisce SecureROM A12/A13 Apple

Fonti

Fonti e riferimenti
  1. bleepingcomputer.com
  2. sentinelone.com
  3. cybersecuritynews.com
  4. crowdsec.net
  5. gbhackers.com
  6. deals.bleepingcomputer.com