Attacco su larga scala sfrutta vulnerabilità in Gravity SMTP per rubare chiavi API su WordPress

Come una vulnerabilità media in un plugin WordPress sta mettendo a rischio 100mila siti

Negli ultimi mesi, una falla di sicurezza in Gravity SMTP — un plugin per WordPress utilizzato da circa 100mila siti — ha attirato l’attenzione di attori malevoli che sfruttano la vulnerabilità per accedere a dati sensibili senza bisogno di autenticazione. Tracciata come CVE-2026-4020 con un punteggio CVSS di 5.3, la vulnerabilità è classificata come “media” ma il suo impatto pratico può essere significativo, soprattutto per i siti che integrano servizi di terze parti tramite API. La debolezza risiede in un endpoint REST non adeguatamente protetto, che restituisce informazioni riservate come chiavi di configurazione, token OAuth e credenziali per l’invio di email. La facilità con cui un attaccante può sfruttarla — semplicemente inviando una richiesta HTTP GET non autenticata — rende la minaccia concreta e diffusa.

La vulnerabilità si manifesta attraverso un endpoint registrato alla route /wp-json/gravitysmtp/v1/tests/mock-data, il cui meccanismo di controllo degli accessi (permission_callback) restituisce sempre true, ignorando qualsiasi verifica di autenticazione. Quando all’URL viene aggiunto il parametro ?page=gravitysmtp-settings, il plugin carica dati interni relativi ai connettori configurati e restituisce un file JSON di circa 365 KB contenente il report completo del sistema. Tra i dati esposti figurano non solo le chiavi API per servizi email di terze parti, ma anche dettagli tecnici sullo stack software del sito, utili per pianificare attacchi successivi. Nonostante la gravità non sia massima, l’esposizione di credenziali attive rappresenta un rischio immediato: un attaccante potrebbe utilizzare queste chiavi per inviare email fraudolente a nome del sito compromesso o per accedere ad altri servizi collegati.

Dettagli tecnici: perché l’endpoint REST è l’anello debole

La radice del problema risiede in una cattiva implementazione del controllo degli accessi nell’endpoint REST del plugin. Normalmente, un endpoint REST in WordPress dovrebbe verificare le autorizzazioni dell’utente prima di restituire dati sensibili. Tuttavia, in questo caso, il permission_callback è stato configurato per restituire sempre true, consentendo a qualsiasi utente — anche non autenticato — di accedere alle informazioni. Questo errore di progettazione trasforma un endpoint pensato per il testing o la diagnostica in una porta aperta verso dati riservati.

Quando il parametro ?page=gravitysmtp-settings viene aggiunto alla richiesta, il plugin esegue il metodo register_connector_data(), che popola i dati relativi ai connettori configurati per l’invio di email. Il risultato è un dump di informazioni che include non solo le chiavi API per servizi come SendGrid, Mailgun o Amazon SES, ma anche dettagli tecnici sul server, le versioni dei plugin installati e le configurazioni del database. Questi dati possono essere utilizzati dagli attaccanti per mappare l’infrastruttura del sito e identificare ulteriori vulnerabilità, riducendo drasticamente il tempo necessario per pianificare un attacco mirato.

Cronologia degli attacchi: da maggio a giugno 2026, un’impennata di exploit

Secondo le rilevazioni di Wordfence, gli attacchi sfruttando CVE-2026-4020 sono iniziati all’inizio di maggio 2026, con una prima ondata di richieste malevole. Tuttavia, è stato a giugno che l’attività ha raggiunto picchi preoccupanti, con oltre 4 milioni di richieste al giorno registrate in un solo giorno. In totale, Wordfence ha bloccato più di 17 milioni di tentativi di exploit, provenienti da una serie di indirizzi IP distribuiti a livello globale. La rapidità con cui la vulnerabilità è stata sfruttata testimonia l’interesse degli attaccanti per questo tipo di falle, che permettono di ottenere accesso a informazioni critiche senza richiedere competenze avanzate.

Gli indirizzi IP coinvolti negli attacchi non seguono un pattern geografico preciso, il che suggerisce l’utilizzo di botnet o reti di proxy per mascherare l’origine delle richieste. Questo approccio è tipico delle campagne di attacco automatizzate, che mirano a massimizzare il numero di siti compromessi in breve tempo. La tempistica degli exploit — con un’impennata a giugno — potrebbe essere correlata alla diffusione della patch correttiva, che ha spinto gli attaccanti a sfruttare la vulnerabilità prima che tutti gli amministratori avessero aggiornato i loro sistemi.

Impatto pratico: cosa rischiano i siti esposti

Per i proprietari di siti WordPress che utilizzano Gravity SMTP e hanno configurato integrazioni con servizi di terze parti, l’impatto di questa vulnerabilità può essere grave. L’esposizione di chiavi API attive permette agli attaccanti di inviare email a nome del sito compromesso, utilizzando il server come fonte affidabile per campagne di phishing o spam. Questo non solo danneggia la reputazione del dominio, ma può anche portare a blacklist da parte dei provider di posta elettronica, con conseguenti problemi di deliverability per le comunicazioni legittime.

Oltre alle chiavi API, il report di sistema restituito dall’endpoint vulnerabile contiene informazioni dettagliate sullo stack tecnologico del sito, incluse le versioni dei plugin installati, le configurazioni del server e i dettagli del database. Questi dati possono essere utilizzati per identificare ulteriori vulnerabilità, ad esempio plugin obsoleti o configurazioni errate, che potrebbero essere sfruttate in attacchi successivi. In sintesi, la compromissione di un sito tramite questa falla non si limita a un singolo episodio, ma apre la strada a una serie di attacchi mirati che potrebbero compromettere l’intera infrastruttura.

La patch è disponibile: perché molti siti rimangono ancora vulnerabili

La vulnerabilità è stata corretta nella versione 2.1.5 di Gravity SMTP, pubblicata come aggiornamento di sicurezza. Tuttavia, secondo i dati disponibili, una percentuale significativa di siti non ha ancora applicato la patch, rimanendo esposta agli attacchi. Questo fenomeno non è raro nel panorama della sicurezza informatica: molti amministratori di siti WordPress ritardano gli aggiornamenti per timore di incompatibilità con altri plugin o temi, oppure semplicemente per negligenza. In alcuni casi, i siti potrebbero non essere configurati per ricevere aggiornamenti automatici, soprattutto se gestiti da hosting condivisi o servizi di terze parti.

La latenza nell’applicazione delle patch rappresenta un rischio concreto, soprattutto per i siti che gestiscono dati sensibili o che sono integrati con servizi critici. Gli attaccanti sono consapevoli di questa dinamica e spesso scansionano Internet alla ricerca di siti non aggiornati, sfruttando le vulnerabilità note prima che vengano risolte. Per questo motivo, è fondamentale che gli amministratori verifichino tempestivamente la versione installata del plugin e applichino l’aggiornamento non appena possibile.

Cosa devono fare gli amministratori di siti WordPress

Il primo passo per mitigare il rischio è verificare la versione di Gravity SMTP installata sul proprio sito. Se la versione è precedente alla 2.1.5, è necessario applicare l’aggiornamento immediatamente. Questo può essere fatto direttamente dalla bacheca di WordPress, nella sezione “Plugin”, oppure tramite il pannello di controllo dell’hosting. Dopo l’aggiornamento, è consigliabile controllare i log del server per verificare se sono state effettuate richieste sospette all’endpoint vulnerabile nei giorni precedenti.

Oltre all’aggiornamento, gli amministratori dovrebbero considerare la rotazione delle chiavi API esposte, soprattutto se il sito utilizza servizi di terze parti per l’invio di email. Questo include non solo le chiavi per i servizi di posta elettronica, ma anche i token OAuth e le credenziali di accesso ai servizi collegati. La rotazione delle chiavi è un’operazione critica per limitare i danni in caso di compromissione, poiché rende inutilizzabili le credenziali rubate dagli attaccanti.

Infine, è utile implementare misure di sicurezza aggiuntive, come la limitazione degli accessi all’endpoint REST tramite firewall o plugin di sicurezza, e il monitoraggio continuo delle attività sospette. Strumenti come Wordfence, Sucuri o Cloudflare possono aiutare a rilevare e bloccare automaticamente i tentativi di exploit, riducendo il rischio di compromissione. Anche la revisione periodica dei log del server e dei file di accesso può fornire indicazioni su attività insolite, consentendo una risposta tempestiva.

Il fenomeno più ampio: perché le vulnerabilità nei plugin WordPress sono un problema ricorrente

Gravity SMTP non è l’unico plugin WordPress ad aver subito una vulnerabilità di questo tipo negli ultimi anni. Il panorama dei plugin per WordPress è estremamente vasto e diversificato, con oltre 60mila plugin disponibili nel repository ufficiale. Questa ricchezza funzionale si accompagna, purtroppo, a un aumento dei rischi di sicurezza. Molti plugin vengono sviluppati da piccoli team o singoli sviluppatori, spesso con risorse limitate per test di sicurezza approfonditi. Di conseguenza, falle come quella di Gravity SMTP possono passare inosservate fino a quando non vengono sfruttate dagli attaccanti.

Il problema è ulteriormente aggravato dalla popolarità di WordPress, che alimenta una base installata di oltre 40 milioni di siti in tutto il mondo. Questa diffusione attira l’attenzione di attaccanti che cercano di sfruttare le vulnerabilità per compromettere un numero elevato di siti con sforzi relativamente contenuti. Inoltre, la natura open-source di WordPress significa che gli attaccanti possono analizzare il codice dei plugin per identificare potenziali falle, anche prima che vengano scoperte dagli sviluppatori.

Lezioni apprese e best practice per la sicurezza di WordPress

La vicenda di Gravity SMTP offre diversi spunti per migliorare la sicurezza dei siti WordPress. Innanzitutto, è fondamentale adottare una politica di aggiornamento regolare, sia per WordPress stesso che per tutti i plugin e i temi installati. Gli aggiornamenti non servono solo ad aggiungere nuove funzionalità, ma spesso includono patch per vulnerabilità di sicurezza critiche. Utilizzare strumenti di gestione automatica degli aggiornamenti può ridurre il rischio di dimenticanze, soprattutto per i siti gestiti da amministratori con risorse limitate.

Un’altra best practice è la limitazione dei privilegi degli utenti. Molti attacchi sfruttano account con privilegi elevati per accedere a dati sensibili o modificare le configurazioni del sito. È consigliabile assegnare ai singoli utenti solo i permessi necessari per svolgere le loro mansioni, riducendo così la superficie di attacco. Inoltre, l’utilizzo di plugin di sicurezza che monitorano le attività sospette e bloccano gli accessi non autorizzati può fornire un ulteriore livello di protezione.

Infine, è importante effettuare regolarmente backup dei dati del sito. In caso di compromissione, un backup recente permette di ripristinare il sito rapidamente, riducendo al minimo i tempi di inattività e i danni. I backup dovrebbero essere conservati in una posizione sicura, separata dal server principale, per evitare che vengano compromessi insieme al sito.

Conclusioni: agire ora per evitare danni futuri

La vulnerabilità in Gravity SMTP rappresenta un promemoria importante sulla necessità di una gestione attiva e consapevole della sicurezza dei siti WordPress. Nonostante la classificazione come “media”, l’impatto pratico di questa falla può essere devastante, soprattutto per i siti che integrano servizi di terze parti tramite API. Gli amministratori devono agire tempestivamente per applicare la patch disponibile, ruotare le chiavi API esposte e implementare misure di sicurezza aggiuntive per proteggere i propri siti.

Il ritmo degli attacchi informatici non accenna a diminuire, e le vulnerabilità nei plugin WordPress continueranno a rappresentare un bersaglio privilegiato per gli attaccanti. Solo attraverso una combinazione di aggiornamenti regolari, monitoraggio continuo e best practice di sicurezza sarà possibile mitigare i rischi e garantire la protezione dei siti e dei dati degli utenti. In un panorama digitale sempre più complesso, la prevenzione rimane la strategia più efficace per difendersi dalle minacce in continua evoluzione.