La vulnerabilidad CVE-2026-4020 en el plugin Gravity SMTP para WordPress permite acceder a credenciales SMTP, claves de API y datos de configuración del servidor sin autenticarse. Con CVSS 7.5, afecta todas las versiones hasta la 2.1.4 y según el reporte de Wordfence, la explotación activa comenzó el 27 de mayo de 2026 con más de 412 IPs involucradas.
Gravity SMTP es un plugin de WordPress del ecosistema Gravity Forms que reemplaza el sistema de envío de correo nativo de WordPress por una capa configurable con proveedores externos de email. Guarda las credenciales de conexión directamente en la base de datos del sitio, y ahí está el problema cuando esas credenciales quedan expuestas.
En 30 segundos
- CVE-2026-4020 expone hasta 365 KB de datos sensibles (credenciales SMTP, claves API, constantes de wp-config) sin autenticación, a través del endpoint
/wp-json/gravitysmtp/v1/tests/mock-data. - Todas las versiones de Gravity SMTP hasta la 2.1.4 son vulnerables. La versión parcheada es la 2.1.5, publicada el 31 de marzo de 2026.
- La explotación masiva arrancó el 27 de mayo de 2026. En los primeros días, más de 412 IPs distintas estaban atacando activamente.
- Si tu sitio usa Gravity SMTP, actualizá a 2.1.5 o superior de inmediato y rotá todas las claves API y contraseñas SMTP configuradas.
- Si no podés parchear ahora mismo, bloqueá el endpoint vulnerable con un WAF o reglas de firewall a nivel servidor.
¿Qué es Gravity SMTP y por qué los administradores WordPress lo usan?
Cualquiera que haya administrado un sitio WordPress con formularios de contacto, pedidos de WooCommerce o notificaciones automáticas sabe que el correo nativo de WordPress vía PHP mail es un desastre. Los emails caen en spam, el servidor de hosting los throttlea o directamente no los manda.
Gravity SMTP nació como la solución oficial para los usuarios de Gravity Forms: un plugin que reemplaza el envío nativo por uno configurable con proveedores externos. Podés conectarlo con credenciales de servidor SMTP, usar APIs de servicios de email transaccional, configurar autenticación DKIM y verificar que los mensajes lleguen. La interfaz es más amigable que otros gestores SMTP del mercado, y su integración con el ecosistema Gravity Forms le ganó una base de usuarios importante.
La clave está en lo que guarda: credenciales de acceso a tus proveedores de email, directamente en la base de datos de WordPress. Y ahí está el problema.
¿Qué expone exactamente la vulnerabilidad CVE-2026-4020?
Ponele que tenés Gravity SMTP configurado con las credenciales de tu servidor de correo. Creés que esos datos están guardados de forma segura dentro de WordPress. Lo que no sabías es que el plugin tiene un endpoint de diagnóstico accesible públicamente, sin ningún tipo de verificación de identidad. Tema relacionado: cómo funcionan los firewalls modernos en WordPress.
El endpoint /wp-json/gravitysmtp/v1/tests/mock-data existe para «testear» la configuración durante el setup (entre comillas, porque nadie parece haber pensado qué pasaría si ese endpoint quedaba activo en producción). Según el análisis de CrowdSec, una simple solicitud GET a esa URL devuelve hasta 365 KB de datos del sistema, sin que el visitante tenga ningún permiso ni sesión activa.
¿Y qué hay en esos 365 KB?
- Credenciales SMTP completas: servidor, puerto, usuario y contraseña de acceso.
- Claves API de proveedores de email externos: tokens de integración con servicios de envío transaccional configurados en el plugin.
- Tokens DKIM privados: las claves usadas para firmar digitalmente los emails salientes de tu dominio.
- Versiones de PHP y plugins activos: información que facilita buscar vulnerabilidades adicionales en el stack.
- Detalles de configuración de la base de datos: datos del entorno WordPress.
- Constantes de wp-config.php: incluyendo las claves de seguridad de WordPress.
Con eso, un atacante tiene lo necesario para enviar correos desde tu dominio, secuestrar tu infraestructura de email y, dependiendo de qué credenciales encontró, escalar hacia otros componentes del sistema.
¿Por qué esta vulnerabilidad es un riesgo crítico de seguridad?
«Exposición de información sensible» suena menos dramático que «ejecución remota de código». El CVSS 7.5 refleja eso. Pero el impacto real en producción es otra cosa.
Wordfence documentó que entre el 27 de mayo y el 1 de junio de 2026 el ataque pasó de esporádico a masivo: más de 412 IPs distintas intentando extraer datos del endpoint vulnerable. Y no eran bots exploratorios. El análisis del tráfico mostró que el 83% de los atacantes tenía intención de usar los datos recolectados para ataques posteriores, no solo para inventariar sitios vulnerables.
El vector más obvio: usar las credenciales SMTP robadas para mandar spam o phishing desde dominios legítimos. Tu dominio, con tu reputación de envío. Las consecuencias van desde caer en listas negras hasta que el proveedor de email te suspenda la cuenta.
Pero hay algo más sutil con los tokens DKIM. Si un atacante tiene tu clave DKIM privada, puede firmar emails como si vinieran de tu dominio y pasarían los filtros de autenticación de la mayoría de los servidores de correo. No es spam ordinario: es phishing creíble bajo tu identidad, y los destinatarios no tienen cómo detectarlo fácilmente. Sobre eso hablamos en herramientas para monitorear vulnerabilidades activas.
El hecho de que la explotación masiva haya arrancado casi dos meses después de la publicación de la vulnerabilidad (31 de marzo versus 27 de mayo) no es una buena noticia, aunque suene como que hubo margen. Lo que pasó es que los atacantes usaron ese tiempo para construir herramientas automatizadas de explotación que ahora están circulando. Sería ingenuo asumir que van a desaparecer.
¿Cuáles son las versiones de Gravity SMTP afectadas?
Todas las versiones de Gravity SMTP hasta la 2.1.4 inclusive son vulnerables. La versión 2.1.5 incluye el parche.
El timeline de CVE-2026-4020:
- 31 de marzo de 2026: publicación oficial de la vulnerabilidad y lanzamiento de la versión 2.1.5 con el fix.
- 27 de mayo de 2026: inicio documentado de explotación activa y masiva.
- 1 de junio de 2026: Wordfence registra el pico de actividad con 412+ IPs atacando de forma coordinada.
La puntuación CVSS 7.5 (alta) refleja principalmente la facilidad de explotación: sin autenticación, sin privilegios previos, cualquier cliente HTTP sirve para extraer los datos.
Si instalaste Gravity SMTP antes del 31 de marzo y no actualizaste, hay que asumir que el endpoint fue consultado. El parche cierra el acceso, pero no deshace lo que ya fue descargado.
¿Cómo puedo actualizar Gravity SMTP y proteger mi sitio?
Lo urgente primero. En ese orden:
- Actualizá a Gravity SMTP 2.1.5 o superior. Desde el panel de WordPress, en Plugins, buscá actualizaciones disponibles. Si tenés actualizaciones automáticas activadas, verificá que se haya aplicado la 2.1.5 revisando la versión instalada.
- Verificá manualmente que el endpoint esté cerrado. Abrí una ventana de incógnito y entrá a
https://tusitioweb.com/wp-json/gravitysmtp/v1/tests/mock-data. Si el sitio parcheó correctamente, vas a recibir un error 403 o 401. Si ves datos de configuración, el parche no aplicó o hay cache de servidor interfiriendo. - Rotá todas las credenciales que tenías configuradas. Cambiá la contraseña de tu servidor SMTP, generá nuevas claves API para los proveedores de email, y evaluá si corresponde rotar las security keys de WordPress en wp-config.php.
- Implementá un WAF como solución transitoria si por alguna razón no podés actualizar ahora. Wordfence Premium tiene reglas específicas para bloquear el endpoint. La versión gratuita recibe esas reglas con 30 días de demora (sí, en serio, justo cuando más urgente es tenerlas).
Un punto que poca gente considera: si tu sitio está en un hosting con infraestructura de correo propia y te permite configurar el envío a nivel servidor, como ofrece donweb.com, podés evaluar si realmente necesitás un plugin de terceros gestionando el SMTP de WordPress. Menos plugins instalados, menos superficie de ataque expuesta.
¿Cómo detectar si mi WordPress fue explotado por esta vulnerabilidad?
La pregunta correcta no es «¿me atacaron?» sino «¿qué hicieron con lo que encontraron?». Para responder la primera, necesitás los logs del servidor. Esto se conecta con lo que analizamos en protección de plugins en tiendas online.
En servidores con acceso a logs de Apache o Nginx, buscá en los logs de acceso registros que contengan gravitysmtp/v1/tests/mock-data. Si tenés acceso SSH, un grep "gravitysmtp" access.log te da el resultado en segundos. Cualquier solicitud GET a esa URL proveniente de una IP que no sea la tuya es una señal de alerta.
- Revisá los logs de acceso del servidor filtrando por el endpoint vulnerable. Una IP consultando una sola vez es diferente a decenas de solicitudes automatizadas.
- Verificá cambios en la configuración SMTP del plugin. En el panel de Gravity SMTP, revisá si el servidor configurado es el que pusiste vos o si hay modificaciones que no reconocés.
- Auditá usuarios de WordPress con permisos elevados. Si accedieron a credenciales de administrador a través de los datos expuestos, podrían haber creado cuentas nuevas.
- Controlá el historial de envíos en tu proveedor de email. Picos de volumen que no explicás, especialmente en horarios nocturnos o fuera de tu actividad habitual, son señal de abuso.
- Verificá si tu dominio está en listas negras de spam. MXToolbox te permite chequear si tu IP o dominio fue marcado como fuente de spam.
¿Qué plugins SMTP alternativos son seguros para reemplazar Gravity SMTP?
Si este incidente te hizo reconsiderar tener Gravity SMTP instalado, hay opciones con mejor historial. Antes de cambiar: un plugin con historial limpio hoy puede tener un CVE mañana. Lo que importa es cuán rápido parchan cuando aparece algo y qué tan activa es la comunidad que lo audita.
| Plugin | Costo | Autenticación soportada | Observaciones de seguridad |
|---|---|---|---|
| WP Mail SMTP | Gratis / Pro desde USD 49/año | OAuth2, App Password, SMTP con TLS/SSL | El más auditado del segmento; actualizaciones frecuentes; base de usuarios grande que acelera detección de issues |
| FluentSMTP | Gratis | OAuth2, API Key, SMTP genérico | Sin historial de CVEs críticos; código abierto revisado activamente; buen soporte para múltiples proveedores |
| Post SMTP | Gratis / Pro | OAuth2, SMTP | Tuvo una vulnerabilidad de XSS documentada previamente; revisarlo en detalle antes de instalar en producción |
| SMTP nativo del hosting | Incluido según proveedor | Depende de la configuración del servidor | Menor superficie de ataque; las credenciales no pasan por la base de datos de WordPress |
WP Mail SMTP es la alternativa más razonable para la mayoría de los sitios. La versión gratuita es funcional, el código tiene más ojos encima que casi cualquier alternativa del segmento, y el equipo detrás responde relativamente rápido ante reportes de seguridad.
FluentSMTP es sólido si buscás algo completamente gratuito sin un modelo freemium agresivo. La opción de SMTP a nivel servidor, cuando el hosting lo soporta, sigue siendo la que tiene menos puntos de entrada posibles.
Errores comunes al responder a esta vulnerabilidad
- Actualizar sin rotar credenciales. El parche cierra el endpoint. No deshace lo que ya fue descargado. Si el plugin estuvo expuesto antes de que actualices, las credenciales que tenías configuradas hay que considerarlas comprometidas.
- Asumir que el WAF gratuito de Wordfence ya cubre. La versión gratuita recibe las reglas de firewall con 30 días de demora respecto a la Premium. En una explotación activa y masiva, ese retraso es un problema real.
- No verificar el endpoint después de parchear. Actualizás, te tranquilizás, y listo. El problema es que si tenés caché a nivel de servidor (LiteSpeed Cache, W3 Total Cache u otros), el endpoint puede seguir respondiendo con datos stale. Verificar manualmente que devuelva 403 tarda dos minutos y cierra la duda.
Preguntas Frecuentes
¿Qué es la vulnerabilidad CVE-2026-4020 en Gravity SMTP?
CVE-2026-4020 es una vulnerabilidad de exposición de información sensible en el plugin Gravity SMTP para WordPress. Permite que cualquier visitante, sin autenticación, acceda al endpoint /wp-json/gravitysmtp/v1/tests/mock-data y descargue hasta 365 KB de datos de configuración del sitio, incluyendo credenciales SMTP, claves API y constantes de wp-config. Afecta todas las versiones hasta la 2.1.4 y tiene una puntuación CVSS de 7.5. Más contexto en escaneo profundo tras exposición de datos.
¿Cuándo debo actualizar Gravity SMTP?
Inmediatamente. La versión parcheada (2.1.5) está disponible desde el 31 de marzo de 2026, y la explotación activa y masiva está documentada desde el 27 de mayo. Si usás versiones 2.1.4 o anteriores, tu sitio es un objetivo activo en este momento. Después de actualizar, rotá todas las credenciales que tenías configuradas en el plugin.
¿Qué datos sensibles expone esta vulnerabilidad?
El endpoint vulnerable devuelve credenciales completas del servidor SMTP (usuario, contraseña, puerto), claves API de proveedores de email externos, tokens DKIM privados, versiones de PHP y plugins activos, y constantes de wp-config.php. Con esos datos, un atacante puede enviar correos desde tu dominio, suplantar tu identidad en comunicaciones firmadas con DKIM y escalar hacia otros componentes del sistema.
¿Cómo detectar si mi sitio WordPress fue explotado?
Revisá los logs de acceso del servidor buscando solicitudes GET a /wp-json/gravitysmtp/v1/tests/mock-data. Si encontrás registros de IPs que no son tuyas, el endpoint fue consultado. Además, verificá picos de envío de emails en el panel de tu proveedor, revisá si tu dominio aparece en listas negras de spam, y auditá si hay usuarios con permisos elevados en WordPress que no reconocés.
¿Cuáles son los plugins SMTP seguros como alternativa a Gravity SMTP?
WP Mail SMTP y FluentSMTP son las alternativas más recomendables en este momento. WP Mail SMTP tiene el historial de auditorías más amplio del segmento y actualizaciones frecuentes. FluentSMTP es completamente gratuito y tiene un buen registro de seguridad. Post SMTP tuvo vulnerabilidades documentadas en el pasado, así que revisá su historial antes de instalarlo en producción.
Conclusión
CVE-2026-4020 no entra en la categoría de «lo reviso después». Con 412+ IPs atacando y un endpoint que cualquier cliente HTTP puede consultar sin credenciales, cada día sin actualizar es un riesgo concreto de que las claves SMTP y los tokens de tu sitio terminen en manos equivocadas.
El parche existe desde el 31 de marzo. La explotación masiva llegó dos meses después. Eso no es una ventana de tiempo cómoda: es lo que tardaron los atacantes en automatizar la explotación y distribuir las herramientas. Ahora esas herramientas están circulando activamente.
Actualizá a 2.1.5, rotá credenciales, verificá manualmente que el endpoint devuelva 403, y revisá los logs para saber si el daño ya ocurrió. Si todavía no hiciste ninguna de las cuatro cosas, empezá por ahí.
Fuentes
- Wordfence — Attackers Actively Exploiting Sensitive Information Exposure Vulnerability in Gravity SMTP Plugin
- CrowdSec — CVE-2026-4020 Gravity SMTP Information Disclosure: vulnerability tracking report
- GitHub Security Advisory GHSA-jxfc-8wcq-xxcg — Gravity SMTP sensitive information exposure
- Pentest-Tools — Gravity SMTP WordPress Plugin Sensitive Information Exposure