{"id":1254,"date":"2026-06-20T10:58:45","date_gmt":"2026-06-20T10:58:45","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/20\/los-piratas-informaticos-aprovechan-el-error-del-complemento-gravity-smtp-de-wordpress-para-exponer-las-claves-api-cyberdefensa-mx\/"},"modified":"2026-06-20T10:58:45","modified_gmt":"2026-06-20T10:58:45","slug":"los-piratas-informaticos-aprovechan-el-error-del-complemento-gravity-smtp-de-wordpress-para-exponer-las-claves-api-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/20\/los-piratas-informaticos-aprovechan-el-error-del-complemento-gravity-smtp-de-wordpress-para-exponer-las-claves-api-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan el error del complemento Gravity SMTP de WordPress para exponer las claves API \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los actores de amenazas est\u00e1n explotando una falla de seguridad recientemente reparada que afecta a Gravity SMTP, un complemento de WordPress que est\u00e1 instalado en alrededor de 100.000 sitios.<\/p>\n<p>La vulnerabilidad, rastreada como <strong>CVE-2026-4020<\/strong> (Puntuaci\u00f3n CVSS: 5,3), es una falla de divulgaci\u00f3n de informaci\u00f3n de gravedad media que puede permitir a atacantes no autenticados extraer datos confidenciales, como datos de configuraci\u00f3n, claves API, secretos y tokens OAuth configurados para las integraciones de correo electr\u00f3nico del complemento.<\/p>\n<p>\u00abEsto se debe a un punto final de la API REST registrado en \/wp-json\/gravitysmtp\/v1\/tests\/mock-data con un permiso_callback que incondicionalmente devuelve verdadero, permitiendo que cualquier visitante no autenticado acceda a \u00e9l\u00bb, Wordfence <a href=\"https:\/\/www.wordfence.com\/blog\/2026\/06\/attackers-actively-exploiting-sensitive-information-exposure-vulnerability-in-gravity-smtp-plugin\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abCuando se agrega el par\u00e1metro de consulta ?page=gravitysmtp-settings, el m\u00e9todo Register_connector_data() del complemento completa los datos del conector interno, lo que hace que el punto final devuelva aproximadamente 365 KB de JSON que contiene el informe completo del sistema\u00bb.<\/p>\n<p>Como resultado, un atacante no autenticado puede utilizar este problema como arma para recuperar una amplia gama de informaci\u00f3n, que incluye:<\/p>\n<ul>\n<li>versi\u00f3n PHP<\/li>\n<li>Extensiones cargadas<\/li>\n<li>Versi\u00f3n del servidor web<\/li>\n<li>Ruta ra\u00edz del documento<\/li>\n<li>Tipo y versi\u00f3n del servidor de base de datos<\/li>\n<li>Versi\u00f3n de WordPress<\/li>\n<li>Todos los complementos activos con versiones.<\/li>\n<li>Tema activo<\/li>\n<li>Detalles de configuraci\u00f3n de WordPress<\/li>\n<li>Nombres de tablas de base de datos<\/li>\n<li>Claves\/tokens API configurados en el complemento, como Amazon SES, Google, Mailjet, Resend y Zoho<\/li>\n<\/ul>\n<p>Luego, los atacantes podr\u00edan aprovechar esta exposici\u00f3n para recopilar credenciales que podr\u00edan usarse de forma abusiva para enviar correos electr\u00f3nicos en nombre del sitio, as\u00ed como obtener detalles extensos de la pila de software del sitio, que podr\u00eda actuar como base para ataques posteriores.<\/p>\n<p>\u00abComo ocurre con todas las vulnerabilidades de exposici\u00f3n de informaci\u00f3n confidencial, el impacto depende de los datos que est\u00e9n expuestos\u00bb, a\u00f1adi\u00f3 Wordfence. \u00abEn este caso, la exposici\u00f3n de credenciales API de terceros en vivo significa que un atacante podr\u00eda abusar de los servicios de correo electr\u00f3nico conectados al sitio, mientras que el informe detallado del sistema reduce significativamente el esfuerzo requerido para planificar futuros ataques contra el sitio\u00bb.<\/p>\n<p>Se lanz\u00f3 un parche para la vulnerabilidad en la versi\u00f3n 2.1.5 del complemento. Los malos actores ya se han aprovechado del defecto enviando solicitudes HTTP GET no autenticadas al punto final vulnerable de la API REST con el par\u00e1metro de consulta \u00ab?page=gravitysmtp-settings\u00bb, lo que hace que el servidor devuelva informaci\u00f3n valiosa sobre el sitio sin requerir ninguna autenticaci\u00f3n.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Wordfence ha bloqueado m\u00e1s de 17 millones de intentos de explotaci\u00f3n dirigidos a CVE-2026-4020 hasta la fecha, y la actividad inicial comenz\u00f3 a principios de mayo de 2026 antes de aumentar dr\u00e1sticamente alrededor del 6 de junio de 2026, alcanzando un m\u00e1ximo de m\u00e1s de 4.000.000 de solicitudes un d\u00eda despu\u00e9s. Los esfuerzos de explotaci\u00f3n se originaron en las siguientes direcciones IP:<\/p>\n<ul>\n<li>45.148.10.95<\/li>\n<li>193.32.162.60<\/li>\n<li>176.65.148.139<\/li>\n<li>173.199.90.188<\/li>\n<li>45.148.10.120<\/li>\n<li>185.8.107.155<\/li>\n<li>185.8.106.37<\/li>\n<li>185.8.106.92<\/li>\n<li>185.8.106.145<\/li>\n<li>176.65.148.30<\/li>\n<\/ul>\n<p>Los propietarios de sitios que ejecutan una versi\u00f3n vulnerable del complemento Gravity SMTP y han configurado integraciones de correo electr\u00f3nico de terceros deben asumir el compromiso y rotar las credenciales despu\u00e9s de actualizar el complemento a la \u00faltima versi\u00f3n lo antes posible. Tambi\u00e9n se recomienda revisar los archivos de registro del servidor en busca de solicitudes que se originen en las direcciones IP antes mencionadas para detectar cualquier solicitud sospechosa al punto final de la API.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas est\u00e1n explotando una falla de seguridad recientemente reparada que afecta a Gravity SMTP, un complemento de WordPress que est\u00e1 instalado en alrededor de 100.000 sitios. La vulnerabilidad, rastreada como CVE-2026-4020 (Puntuaci\u00f3n CVSS: 5,3), es una falla de divulgaci\u00f3n de informaci\u00f3n de gravedad media que puede permitir a atacantes no autenticados extraer [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[49,466,254,1881,24,70,778,3219,3218,540,95,52,36,539,2925,2928],"class_list":["post-1254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-api","tag-aprovechan","tag-claves","tag-complemento","tag-cyberdefensa-mx","tag-del","tag-error","tag-exponer","tag-gravity","tag-informaticos","tag-las","tag-los","tag-para","tag-piratas","tag-smtp","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1254"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}