Ciberatacantes explotan vulnerabilidad de divulgacion de informacion en complemento Gravity SMTP de WordPress

Qué pasó

Segun informo la firma de seguridad informatica Wordfence, perteneciente a Defiant, actores maliciosos se encuentran explotando desde inicios de junio una vulnerabilidad en el complemento Gravity SMTP, utilizado en alrededor de 100 mil sitios web basados en WordPress a nivel global. La compania detallo que su firewall bloqueo mas de 17 millones de intentos de explotacion contra clientes protegidos.

La falla, identificada como CVE-2026-4020, afecta a todas las versiones del componente anteriores a la 2.1.5 y fue corregida el 17 de marzo pasado. No obstante, una proporcion significativa de sitios aun no ha aplicado la actualizacion, lo que ha permitido una escalada sostenida de los ataques en las ultimas semanas.

El problema de seguridad se origina en un punto de conexion de la interfaz de programacion de aplicaciones de tipo REST expuesto por el complemento, cuya funcion de validacion de permisos retorna de forma permanente un valor verdadero. Esta configuracion permite que cualquier usuario no autenticado ejecute solicitudes de tipo GET y reciba un informe detallado del sistema en formato JSON.

Entre los datos expuestos se encuentran claves de acceso a interfaces de programacion, secretos y tokens de autenticacion del protocolo OAuth asociados a integraciones de correo electronico, credenciales de servicios externos como Amazon SES, Google, Mailjet, Resend y Zoho, ademas de detalles de configuracion de WordPress, informacion del entorno del servidor y datos de la base de datos. La gravedad del incidente radica en que las credenciales obtenidas pueden ser utilizadas para suplantar la identidad de la organizacion afectada y planificar ataques posteriores.

Wordfence reporto que la actividad de explotacion se intensifico el 7 de junio, con aproximadamente cuatro millones de solicitudes bloqueadas ese dia, seguidas por varios dias con niveles similares de trafico malicioso. Como indicador de compromiso, la firma senalo las solicitudes al punto de conexion 'wp-json/gravitysmtp/v1/tests/mock-data' en los registros de acceso del servidor web, en particular aquellas que incluyen el parametro de consulta 'page=gravitysmtp-settings'. Los administradores deberian revisar sus registros y bloquear las direcciones IP de origen mas activas listadas por la compania de seguridad.

Contexto

El incidente pone de manifiesto la creciente superficie de ataque que enfrenta el ecosistema WordPress, plataforma que respalda cerca del 40 por ciento de los sitios web a nivel mundial. La popularidad del sistema de gestion de contenidos lo convierte en un objetivo recurrente para grupos cibercriminales, que suelen concentrar sus esfuerzos en complementos de uso masivo.

Gravity SMTP es un complemento orientado a gestionar el envio de correos electronicos transaccionales desde sitios WordPress, una funcion critica para comercios electronicos, sitios corporativos y plataformas de servicios. La exposicion de credenciales de servicios de correo no solo compromete la infraestructura tecnica del sitio afectado, sino que ademas permite a los atacantes suplantar la identidad de la organizacion ante terceros.

La vulnerabilidad ilustra un patron recurrente en el desarrollo de extensiones: la implementacion deficiente de mecanismos de control de acceso en puntos de conexion de la interfaz de programacion, que omite la verificacion de credenciales del solicitante. Este tipo de errores, aunque conceptualmente sencillos, puede tener consecuencias severas cuando involucran datos sensibles y se producen en complementos ampliamente desplegados.

Impacto para empresas chilenas

Para el mercado chileno, donde una proporcion significativa de pequenas y medianas empresas y emprendimientos digitales operan sus sitios corporativos, comercios electronicos y sistemas de reservas sobre WordPress, este tipo de vulnerabilidades representa un riesgo concreto y frecuentemente subestimado.

En el pais, una parte importante de estos sitios son administrados por equipos pequenos o unipersonales que no cuentan con areas dedicadas a la seguridad informatica. En este escenario, la falta de aplicacion oportuna de parches puede derivar en el robo de credenciales de correo electronico, la suplantacion de identidad comercial y el acceso no autorizado a bases de datos de clientes.

La exposicion de llaves de acceso a servicios como Google o Amazon, frecuente en el comercio electronico local, permite ademas a los atacantes realizar envios de correos fraudulentos desde dominios corporativos legitimos, afectando la reputacion de las marcas y la confianza de los consumidores. Especialistas recomiendan a las empresas chilenas actualizar de forma inmediata el complemento, auditar los registros de acceso del servidor web en busca de indicadores de compromiso y rotar todas las credenciales asociadas a servicios de correo electronico.

Qué sigue

Defiant, empresa matriz de Wordfence, publico una lista de direcciones IP de origen mas activas en los intentos de explotacion, que los administradores deberian incorporar a sus listas de bloqueo. Adicionalmente, la firma emitio en fechas recientes una alerta separada por una vulnerabilidad critica en el complemento Avada Builder, utilizado en cerca de un millon de sitios.

El caso refuerza la necesidad de establecer politicas formales de gestion de parches y monitoreo de seguridad, particularmente en organizaciones que dependen de plataformas de codigo abierto con un ecosistema amplio de extensiones de terceros.