100 000 siti WordPress minacciati da una falla che rivela le credenziali email

Gravity SMTP svolge il compito cruciale di inviare email transazionali e di marketing da un sito WordPress. Include conferme di ordinazione, reset delle password e newsletter. L'estensione collega il sito a fornitori come Amazon SES, Google, Mailjet o Zoho. Circa 100 000 siti utilizzano questa estensione ma per diversi mesi hanno lasciato aperte vulnerabilità nel codice.

Una porta aperta che nessuno difendeva

L’esposizione del problema è segnalata come CVE-2026-4020. In precedenza, un punto di accesso all’API REST del plugin doveva accreditare soltanto gli utenti autenticati. Benché questa verifica fosse presente nel codice, non funzionava correttamente, permettendo l’accesso a chiunque.

• Un punto d’accesso all’API REST del plugin doveva normalmente negare l’entrata a utenti non autenticati.
• La verifica esisteva nel codice, ma non faceva distinzioni per l’autenticazione.

Aggiungendo un parametro specifico nell'indirizzo, chiunque poteva attivare l’invio di un rapporto dettagliato in formato JSON. Era un file di 365 kilobyte. All'interno erano elencati la versione di WordPress, l'elenco delle estensioni installate, l'attivo tema e soprattutto le chiavi API e i token OAuth che collegano il sito ai servizi di invio email.

17 milioni di tentativi bloccati e 4 milioni in una sola giornata

La correzione fu implementata nella versione 2.1.5 del plugin, a partire dal 17 marzo. La falla fu resa pubblica dopo due settimane, ma fu solo nel mese di maggio che essa iniziò ad essere sfruttata in modo massiccio. Il 7 giugno, Wordfence registrò più di quattro milioni di richieste dannose in 24 ore. Gli aggressori scansionano l'interno web alla ricerca di siti che non hanno effettuato gli aggiornamenti. Tre mesi dopo la pubblicazione del fix, migliaia di siti restano ancora vulnerabili.

Questo episodio mette a fuoco un problema costante relativo a WordPress. Un amministratore installa venti plug-in, ma aggiorna solo metà di essi. Il resto rimane datato per mesi o addirittura anni.

Ricordate che un'estensione trascurata o abbandonata diventa un punto d'ingresso.

Aggiornare non basta!

Le credenziali già raccolte dagli aggressori sono utilizzabili fino a quando non vengono rigenerate. Gli amministratori devono accedere al fornitore di posta collegato al plug-in e revocare le chiavi obsolete per generarne di nuove.

Senza questa procedura, l’aggiornamento funziona solamente sul sito. Le email spedite a nome del sito rischiano comunque di essere gestite da una terza parte.