Cve-2026-4020

Uma vulnerabilidade de divulgação de informações não autenticadas no plugin Gravity SMTP do WordPress está sendo explorada ativamente por agentes maliciosos, afetando cerca de 100 mil sites. A falha, identificada como CVE-2026-4020, possui uma classificação de severidade média e afeta todas as versões do plugin anteriores à 2.1.5, que foi lançada em 17 de março para corrigir o problema. A vulnerabilidade se origina de um endpoint da API REST exposto, que permite requisições GET não autenticadas, possibilitando o acesso a um relatório de sistema abrangente que pode conter chaves de API, credenciais de serviços de e-mail e detalhes de configuração do WordPress. A empresa de segurança Defiant, responsável pelo firewall Wordfence, relatou que mais de 17 milhões de tentativas de exploração foram bloqueadas. Apesar da classificação média, a possibilidade de exploração sem autenticação torna a vulnerabilidade crítica, pois pode permitir que atacantes se façam passar por vítimas e acessem informações sensíveis. Além disso, a empresa também alertou sobre uma vulnerabilidade crítica em outro plugin, o Avada Builder, que permite a exclusão arbitrária de arquivos, exigindo atenção imediata dos administradores de sites.