Gravity SMTP: exploit expone claves API en WordPress

Hackers están explotando un fallo de autorización en el plugin Gravity SMTP WordPress que expone claves de API y credenciales de correo al acceso externo sin requerir autenticación. El exploit está activo en junio de 2026, según reportó The Hacker News, y afecta a todos los sitios que no instalaron la versión parcheada del plugin.

Gravity SMTP es un plugin para WordPress del equipo de Gravity Forms que centraliza la configuración de correo saliente del sitio. Permite vincular WordPress con Gmail, Outlook o cualquier servidor SMTP externo, y guarda las credenciales de conexión, claves de API y tokens OAuth directamente en la base de datos del sitio. Esa información es exactamente lo que el exploit actual pone en manos de cualquier atacante remoto, sin que este necesite credenciales de ningún tipo.

¿Qué hace Gravity SMTP y dónde está el problema?

El plugin guarda credenciales de email en la base de datos de WordPress, y un fallo en la validación de permisos de la API REST del plugin permite consultarlas desde afuera sin login. Cualquiera que conozca la ruta correcta del endpoint puede obtener las claves configuradas con una simple solicitud HTTP.

Gravity SMTP está diseñado para ser la capa de correo de toda la instalación: el administrador lo configura una vez, lo conecta con el servicio de email, y a partir de ahí todos los mensajes del sitio, confirmaciones de WooCommerce, recuperación de contraseñas, alertas de formulario, salen por ese canal. Es cómodo. El problema es que cuando la validación de acceso a esa configuración falla, lo que queda expuesto es el acceso completo al servicio de correo del sitio (y todo lo que esté vinculado a él).

¿Y qué tan crítico es perder esas credenciales? Depende de qué tan importante sea la cuenta de email expuesta. Un sitio que usa una cuenta dedicada para WordPress tiene un problema manejable. Uno que usa la cuenta de correo principal del negocio tiene un problema considerablemente más serio.

¿Cómo funciona el exploit de Gravity SMTP?

El fallo está en la implementación de los endpoints de la API REST del plugin. WordPress permite que cualquier plugin registre sus propias rutas, y el problema de hacerlo bien es que hay que verificar permisos en cada ruta de forma explícita. Cuando esa verificación es incorrecta o falta, cualquier solicitud HTTP devuelve la información guardada sin autenticación. Lo explicamos a fondo en nuestra guía sobre implementar medidas básicas de seguridad.

• Paso 1: Reconocimiento. El atacante identifica que el sitio usa Gravity SMTP, algo que puede inferirse de headers HTTP o del comportamiento de las peticiones de correo.
• Paso 2: Consulta directa al endpoint. Hace un GET a la ruta de configuración del plugin sin credenciales de ningún tipo.
• Paso 3: Extracción de credenciales. La respuesta incluye claves de API, contraseñas SMTP o tokens OAuth según la configuración del sitio.
• Paso 4: Uso malicioso. Con esas credenciales puede enviar correos desde la cuenta del sitio, acceder al servicio de correo o moverse lateralmente hacia sistemas vinculados.

El flujo no requiere privilegios previos ni ingeniería social. Los scanners automatizados encuentran este tipo de endpoint en minutos una vez que alguien publica el exploit. No es un ataque dirigido, es un sweep masivo.

¿Cuáles son los riesgos reales de este exploit?

Ponele que tenés un WooCommerce con algunas decenas de órdenes diarias. Los correos de confirmación de compra, envío y recuperación de contraseña salen todos por el SMTP configurado en Gravity SMTP. Si un atacante obtiene esas credenciales, el abanico de daño posible es este:

• Envío masivo de spam. Usan tu servidor SMTP para campañas de phishing. Tu dominio termina en listas negras y tus correos legítimos dejan de llegar a nadie.
• Suplantación de identidad hacia tus clientes. Mandan correos que parecen venir de vos: «actualizá tu método de pago», cambios de contraseña, ese tipo de cosas.
• Interceptación de correos entrantes y salientes. Si el token OAuth configurado tiene permisos de lectura, el atacante puede ver todos los mensajes de la cuenta vinculada.
• Acceso lateral a sistemas conectados. Muchas cuentas de email están vinculadas a CRMs, plataformas de marketing o paneles de administración. Las credenciales SMTP son con frecuencia el punto de entrada a todo eso.

¿Quién es vulnerable a este ataque?

Cualquier WordPress con Gravity SMTP instalado y activo que no tenga la versión parcheada. Dentro de ese universo, los perfiles más expuestos son:

• Tiendas WooCommerce. Tienen el SMTP configurado para envíos transaccionales automáticos con una cuenta real y activa.
• Sitios del ecosistema Gravity Forms. Gravity SMTP suele instalarse junto con Gravity Forms para notificaciones de formularios. Si usás el suite completo, lo más probable es que el plugin esté ahí.
• WordPress con actualizaciones postergadas. Sitios de producción donde nadie quiere «tocar nada que funcione» son exactamente los que acumulan vulnerabilidades sin parche durante semanas.
• Blogs con suscriptores y confirmaciones automáticas. Usan el SMTP para envíos regulares a su base de lectores, con credenciales activas y cuentas configuradas.

Ojo: tener el plugin instalado pero sin credenciales configuradas reduce el riesgo drásticamente. Si nunca metiste tus datos SMTP en Gravity SMTP, el atacante va a encontrar la configuración vacía. Dicho esto, hay poca razón para mantener un plugin sin usar instalado y activo.

¿Cómo verificar si tu WordPress fue atacado?

Hay señales que indican que alguien accedió a tus credenciales SMTP. Ninguna es conclusiva por sí sola, pero dos o tres juntas son motivo de actuar con urgencia. En consultar el registro de CVEs profundizamos sobre esto.

• Incremento anómalo en los logs de envío. Si tu proveedor de correo muestra cientos de emails salientes que vos no enviaste, alguien está usando tus credenciales.
• Reportes de spam de tus contactos. Clientes que dicen haber recibido correos extraños «de tu parte» son la señal más clara y la más tardía (el daño ya está hecho cuando llega ese reporte).
• Alertas de actividad sospechosa de tu proveedor de email. Gmail y Outlook tienen detección de uso anómalo. Si llegó una alerta de acceso desde una ubicación inusual, tomala en serio.
• Cambios en la configuración del plugin que vos no hiciste. Si los datos guardados en Gravity SMTP son diferentes a los que configuraste, alguien los modificó.
• Requests sospechosos en los logs del servidor web. Buscá en los access logs solicitudes GET a rutas que incluyan el slug del plugin en la API REST de WordPress.

Si tenés Wordfence instalado, revisá los logs de tráfico bloqueado: puede que ya haya registros de intentos de acceso a los endpoints vulnerables. El plugin de seguridad registra estos intentos incluso cuando los bloquea.

Pasos inmediatos para proteger tu WordPress

Si usás Gravity SMTP, esto es lo que hacés hoy antes de seguir leyendo:

• Actualizar Gravity SMTP a la última versión. Desde el panel de WordPress: Plugins > Actualizaciones disponibles. Si hay versión nueva, instalala ahora mismo. El parche es lo primero.
• Rotar las credenciales SMTP. Aunque hayas actualizado, asumí que las credenciales ya estuvieron expuestas durante el período en que el fallo estaba activo. Cambiá la contraseña de la cuenta de email vinculada y revocá los tokens OAuth existentes.
• Activar autenticación de dos factores en la cuenta de correo vinculada. Aunque alguien haya visto las credenciales, el 2FA hace que el acceso directo a la cuenta sea considerablemente más difícil.
• Revisar los permisos de los tokens OAuth configurados. Si el token tiene acceso de lectura a los correos y solo necesitás envío, revocalo y generá uno nuevo con alcance restringido a sending únicamente.
• Habilitar un WAF. Wordfence puede configurarse para bloquear accesos no autenticados a endpoints de la API REST del plugin.
• Desactivar el plugin si no lo usás activamente. Un plugin desactivado no puede ser explotado. No hay razón para tenerlo activo si no tiene función real en el sitio.

Si tu sitio está en un hosting con soporte técnico activo, como donweb.com, podés solicitar asistencia para revisar los access logs del servidor y configurar reglas de firewall adicionales a nivel de infraestructura.

¿Hay alternativas más seguras a Gravity SMTP?

El problema no es exclusivo de Gravity SMTP. Cualquier plugin que almacene credenciales de email en WordPress es un vector potencial si tiene un bug de autorización. Lo que varía entre plugins es la frecuencia de auditorías, la velocidad de respuesta ante vulnerabilidades y las opciones de configuración para minimizar la superficie expuesta.

Algunos criterios concretos para elegir un plugin SMTP con mejor postura de seguridad:

• Soporte para OAuth en vez de contraseñas planas. Un token OAuth con alcance restringido limita el daño si se filtra. Una contraseña SMTP plana, no.
• Frecuencia de actualizaciones verificable. Un plugin con commits activos y changelog público indica que alguien lo mantiene y responde a reportes.
• Presencia en bases de datos de seguridad. Que Wordfence o Patchstack lo hayan auditado y reportado vulnerabilidades (y parcheado) es mejor señal que un plugin sin historial de seguridad.
• Mínimo de datos sensibles en la base de datos. Algunas implementaciones guardan solo hashes o referencias, no las credenciales completas.

WP Mail SMTP tiene la mayor penetración de mercado entre las alternativas gratuitas y un historial de parches públicos relativamente rápido. No es que sea infalible (ningún plugin lo es), pero al menos tiene más ojos mirando el código.

Qué está confirmado / Qué no

Confirmado

• Existe una vulnerabilidad activa en Gravity SMTP que permite acceso no autenticado a credenciales SMTP configuradas en el plugin.
• El exploit está siendo utilizado activamente en junio de 2026, según el reporte de The Hacker News.
• El fallo involucra validación de permisos incorrecta en endpoints de la API REST del plugin.
• Existe una versión parcheada disponible para instalar desde el panel de WordPress.

No confirmado / Pendiente de verificación

• El CVE específico asignado a la vulnerabilidad (sin número público confirmado en CVE Details a la fecha de publicación).
• El rango exacto de versiones afectadas vs versión parcheada (verificá directamente en el repositorio oficial del plugin).
• El alcance total de la explotación: cuántos sitios ya fueron comprometidos antes del reporte público.
• Si la vulnerabilidad es explotable en todas las configuraciones o solo en combinaciones específicas de ajustes.

Errores comunes al gestionar plugins SMTP en WordPress

Error 1: Usar la cuenta de email principal del negocio

Es tentador porque ya está configurada y funciona. Pero si el plugin expone las credenciales, estás entregando acceso al correo central de la empresa (no es un caso hipotético, es exactamente lo que describe este exploit). Siempre creá una cuenta dedicada para WordPress: noreply@tudominio.com o wordpress@tudominio.com, con acceso mínimo y sin historial de mensajes importantes.

Error 2: No actualizar plugins «que funcionan bien»

Configurás Gravity SMTP con tu cuenta de Gmail, lo probás durante semanas, funciona perfecto, no tocás más nada porque todo anda bien, y mientras tanto alguien publica un exploit, los scanners automatizados recorren millones de sitios, y tu WordPress figura en una lista de credenciales expuestas antes de que veas la notificación de actualización. La «estabilidad» de no actualizar tiene un costo que no se ve hasta que se ve. Más contexto en instalar un firewall de aplicación.

Error 3: Asumir que un plugin premium es más seguro

Gravity SMTP es parte del ecosistema de Gravity Forms, uno de los suites de plugins premium más populares del mercado WordPress. Eso no lo hace inmune. El precio no es un proxy de seguridad: los plugins comerciales tienen código cerrado, lo que reduce la cantidad de ojos externos revisando vulnerabilidades.

Error 4: Configurar tokens OAuth con permisos amplios

Cuando configurás Gmail vía OAuth en un plugin SMTP, podés elegir el alcance del token: solo envío, o envío y lectura completa. Muchos admins seleccionan el acceso completo porque la pantalla de configuración lo hace más fácil. Si ese token se filtra, el atacante puede leer todos los correos de la cuenta, no solo enviar. El principio de mínimo privilegio aplica acá: configurar el alcance mínimo necesario.

Preguntas Frecuentes

¿Qué es la vulnerabilidad de Gravity SMTP en WordPress?

Es un fallo de validación de permisos en el plugin Gravity SMTP que permite a un atacante externo, sin autenticarse en WordPress, acceder a endpoints de configuración del plugin y obtener las credenciales SMTP guardadas: claves de API, contraseñas de servidor y tokens OAuth. El exploit fue reportado activo en junio de 2026 por The Hacker News.

¿Cómo afecta el exploit a mis API keys y credenciales?

Un atacante que explota la vulnerabilidad puede leer las credenciales almacenadas en la configuración de Gravity SMTP sin ningún tipo de login previo: contraseñas de servidor SMTP, claves de API de servicios de correo como Gmail u Outlook, y tokens OAuth de autenticación. Con esos datos puede enviar correos desde tu cuenta, acceder al servicio de correo vinculado o usarlos como puerta de entrada a otros sistemas conectados.

¿Qué versiones del plugin Gravity SMTP son vulnerables?

El parche está disponible en la última versión del plugin. Para verificar qué versión específica corrige el fallo, revisá el changelog oficial en el repositorio de Gravity Forms o en el panel de Plugins > Actualizaciones disponibles de tu WordPress. Si aparece una actualización de Gravity SMTP, esa versión incluye la corrección y debería instalarse de inmediato. Sobre eso hablamos en proteger tu sitio contra ataques.

¿Hay parche de seguridad disponible para Gravity SMTP?

Sí. El equipo de Gravity Forms lanzó una actualización que corrige el fallo de autorización. La forma más directa de acceder es desde el panel de administración de WordPress en Plugins > Actualizaciones disponibles. Instalar esa actualización es la acción más importante que podés tomar. Después de actualizar, rotá las credenciales SMTP como medida adicional.

¿Cómo sé si mi sitio ya fue comprometido?

Revisá los logs de envío de tu cuenta de correo: un volumen anómalo de emails salientes es la señal más directa. Otras indicaciones incluyen reportes de spam de tus contactos, alertas de actividad sospechosa de tu proveedor de email y cambios en la configuración del plugin que vos no realizaste. Wordfence registra intentos de acceso a endpoints no autorizados en sus logs de tráfico, incluso cuando los bloquea.

Conclusión

La vulnerabilidad de Gravity SMTP es el recordatorio de que guardar credenciales en un plugin de WordPress siempre implica un riesgo, y que ese riesgo se materializa cuando la validación de permisos falla. No es un bug exótico ni requiere sofisticación técnica para explotarlo: es el tipo de fallo que los scanners automatizados encuentran en minutos una vez que el exploit es público.

Las dos acciones urgentes son actualizar el plugin y rotar las credenciales SMTP. Eso cubre la mayor parte de la exposición. El resto es revisar si ya hubo acceso no autorizado usando los logs del servidor y del servicio de correo vinculado.

Lo que no conviene hacer es esperar a que «pase algo visible». Un atacante que obtiene credenciales SMTP no necesita dejar rastro inmediato: puede usar el acceso durante semanas antes de que notes actividad rara en tus envíos o que tu dominio aparezca en una lista negra de spam.

Fuentes

• The Hacker News — Hackers Exploit Gravity SMTP WordPress Plugin Bug to Expose API Keys
• Gravity.com — Página oficial del plugin Gravity SMTP
• Wordfence — Plataforma de seguridad y auditoría para WordPress
• CVE Details — Base de datos pública de vulnerabilidades conocidas