Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4966
)
-
▼
June
(Total:
583
)
-
IA crea escáner corporal completo en 60 segundos
-
Vulnerabilidad Gravity SMTP plugin de WordPress pa...
-
ChatGPT pierde el liderazgo del mercado ante Gemin...
-
La mejor herramienta de ChatGPT hasta ahora
-
Gusano de USB propaga malware para robar criptomon...
-
Microsoft confirma exploit 0-day en Defender y pre...
-
Publicado exploit PoC para vulnerabilidad DoS de H...
-
La mejor IA desconocida de Google: NotebookLM
-
Teleco para mascotas con apoyo de gigantes español...
-
Reino Unido ahora va a por las VPN, quieren bloque...
-
Apple subirá precios por la IA
-
Fan lanza PC Fútbol y PC Basket gratis en navegado...
-
Rufus 4.15 optimiza la instalación de Windows 11
-
Teams registrará tu llegada a la oficina
-
Claude gana terreno mientras ChatGPT cae
-
Samsung elimina app Max (VPN) con 50 millones de u...
-
Spotify cambia su inicio de sesión en septiembre
-
WhatsApp Web ya permite llamadas grupales
-
Stop Killing Games falla
-
OpenAI al borde del abismo por pérdidas millonarias
-
La intuición y la IA salvaron a un desarrollador d...
-
Grupo China-Nexus usan módulos PAM vulnerables par...
-
iRhythm admite filtración de datos y robo de infor...
-
Python bate récord histórico de Java
-
Material desconocido sube 40% precio de placas base
-
Varios plugins de JetBrains robaban claves de IA c...
-
Samsung usará IA para detectar enfermedades caninas
-
SAFENet: independencia digital europea
-
Gemini y Claude acechan a ChatGPT
-
Vulnerabilidad de 27 años en OpenBSD permite salta...
-
CISA advierte de vulnerabilidad 0-day en Oracle Pe...
-
Códigos secretos Android
-
AGESA 1.3.0.1b es el mejor firmware de la historia...
-
FortiBleed: más de 70.000 firewalls de Fortinet co...
-
El chip de 3 nm que promete un rendimiento 13 vece...
-
Vulnerabilidad en Fortra Access Manager permite at...
-
Teams analiza datos de hotspots Wi-Fi de empleados
-
Arch Linux suspende altas en AUR
-
KDE Plasma 6.7: más rendimiento y escritorios virt...
-
Kodak confirma filtración de datos tras robo de re...
-
Fallo en el SDK de Google Vertex AI permitía secue...
-
Nintendo hackeada: empleados temen ser sustituidos...
-
Ciberataque provoca que las cosechas permanezcan e...
-
IA abierta que podría superar a Claude Opus 4.8
-
Microsoft usa IA china para reducir costes
-
Monitoreo de red en tiempo real para detectar apli...
-
Hacker toma el control del streaming del Mundial
-
SpaceX compra Cursor por 60.000 millones para comp...
-
Qualcomm lanza Snapdragon Reality Elite
-
CISA alerta sobre vulnerabilidad en Joomla JCE que...
-
Juego de Steam infectado con malware para robar cu...
-
Nueva campaña de OnionDrop usa gainmsg C2 para dis...
-
Reino Unido exigirá identificación o escaneo facia...
-
Campaña SearchJack usa 23 extensiones de Chrome pa...
-
Adobe potencia Creative Cloud con IA
-
Las primeras CPU Intel con gráficos integrados de ...
-
India prohíbe temporalmente Telegram por fraude en...
-
Evolución del precio de la RAM en un año
-
AMD promete que el FSR 4.1 en las GPU RDNA 3 tendr...
-
Plugins maliciosos del Marketplace de JetBrains ro...
-
Router ASUS RT-BE59: doble banda Wi-Fi 7 con doble...
-
AMD bloquea por firmware el cifrado de memoria TSM...
-
Ghostwriter usa correos de Gmail para robar creden...
-
Kioxia Exceria G3 4TB: Gen5
-
Crisis y despidos en la industria del videojuego
-
Campaña de phishing de Microsoft 365 elude robo de...
-
Falla la seguridad de fabricante de monitores card...
-
Nuevo malware de Android Rokarolla roba PIN, códig...
-
Rusia y China usan IA para imitar humanos y evadir...
-
AMD integraría una NPU en los Ryzen Zen 6 de escri...
-
Beneficios de eliminar la IA en jóvenes
-
Casi 14.000 servidores de SimpleHelp expuestos por...
-
Exempleado de distrito escolar, preso por hackear ...
-
Explotan vulnerabilidad 0-day en plugin LiteSpeed ...
-
FSR 4.1 en Radeon RX 6000 y 7000
-
Empresa de IA invierte 3.000 dólares por empleado ...
-
Hackeo de plugin OptinMonster expone 1,2 millones ...
-
Anthropic actualiza su política de privacidad para...
-
Elon Musk cambia TSMC por Samsung para crear la nu...
-
Por qué Gemini supera a ChatGPT
-
Unos investigadores colaboran con Google para crea...
-
Actualizaciones de Windows 11 bloquean PCs
-
Atacan vulnerabilidad de privilegios en Cisco SD-WAN
-
España bloqueará llamadas bancarias fraudulentas
-
Cisco lanza actualizaciones de seguridad para corr...
-
Intel y NVIDIA: CPUs con gráficas integradas
-
Linux 7.1: nuevo controlador NTFS y limpieza de có...
-
EA justificará la publicidad en sus juegos
-
Siete distribuciones BSD
-
SteamOS ya compatible con Intel
-
El DOJ interviene los sitios de desnudos deepfake ...
-
Aviso en sitio de Microsoft por certificado caducado
-
El ecosistema del ransomware se consolida en torno...
-
Valve confirma dos versiones de Steam Machine
-
DPAPISnoop extrae hashes CREDHIST para recuperació...
-
Windows 11 falla tras actualizarse
-
IA costosas generan pérdidas a OpenAI y Anthropic
-
Nadella admite adicción al tokenmaxxing con IA
-
Amazon impulsaría veto de Casa Blanca a modelos de IA
-
Sitio de Microsoft muestra advertencias por olvido...
-
Usan archivos LNK, PowerShell y Python para desple...
-
Zen 6 vs Zen 5
-
FBI: Estafadores emplean mensajeros para robar din...
-
Extensiones Ad Blocker roban chats de IA de ChatGP...
-
Cadena de vulnerabilidades en LiteLLM permite a us...
-
Linus Torvalds: menos palabras y más código
-
Intel Raptor Lake Next: nuevas CPU Core 200 para e...
-
Investigador afirma que el gobierno entró en pánic...
-
El Reino Unido prohibirá las redes sociales a los ...
-
AMD se lanza a por Apple y su MacBook Neo: menos j...
-
La Inteligencia Artificial y el impacto real en el...
-
Polémica por drones e IA con datos de Pokémon GO
-
Origen del router y su importancia
-
Un CORSAIR GPU Power Bridge se derrite en una GeFo...
-
McAfee: los móviles son el mayor espía del planeta
-
Expuesta plataforma de malware por página PHP abierta
-
IA: Tus chats no son privados
-
El Consejo de Europa es víctima de un hackeo de Sh...
-
IA: 4 claves de su burbuja
-
Palo Alto advierte sobre vulnerabilidad de VPN Glo...
-
Vulnerabilidad crítica en Microsoft 365 Copilot pe...
-
Steam Machine y SteamOS avanzan con Intel
-
Xbox podría venderse
-
Google afirma que espías vinculados a China se inf...
-
SecSuite: herramienta de IA para OSINT y seguridad...
-
Microsoft Graph para atacar a empleados de nómina ...
-
Vulnerabilidad crítica de Wazuh permite manipular ...
-
Scripts de plugins populares de WordPress manipula...
-
-
▼
June
(Total:
583
)
Síguenos en:
Entradas populares
Vulnerabilidad Gravity SMTP plugin de WordPress para robar datos
Abusando activamente de un fallo de exposición de información sensible en el plugin Gravity SMTP de WordPress, atacando agresivamente a más de 100.000 sitios para recolectar datos de configuración y credenciales de correo electrónico en vivo.
La vulnerabilidad, rastreada como CVE‑2026‑4020 y calificada con un 5.3 (Media), afecta a todas las versiones de Gravity SMTP hasta la 2.1.4 inclusive, y ahora se encuentra bajo explotación masiva mediante una infraestructura de IP distribuidas en múltiples regiones.
El proveedor lanzó discretamente una corrección el 17 de marzo de 2026, con la versión 2.1.5 de Gravity SMTP, pero la divulgación pública ocurrió el 30 de marzo de 2026, dejando a una gran cantidad de sitios desactualizados expuestos durante las semanas intermedias.
El núcleo del problema es un endpoint de la API REST registrado en /wp-json/gravitysmtp/v1/tests/mock-data con un callback de permisos que devuelve siempre "true", lo que significa que el endpoint no realiza ninguna comprobación de autenticación o capacidad y es accesible para cualquier visitante no autenticado.
Cuando una solicitud añade el parámetro de consulta page=gravitysmtp-settings, la lógica de recolección de configuración del plugin carga sus datos de conexión internos. Esto devuelve un "Informe del Sistema" en formato JSON de aproximadamente 365 KB que contiene extensos metadatos del sistema y del plugin.
Este Informe del Sistema expone la versión de PHP y sus extensiones, la versión del servidor web y el root de los documentos, el tipo y versión de la base de datos, la versión de WordPress y los detalles de configuración, el tema activo, la lista de todos los plugins activos con sus versiones y los nombres de las tablas internas de la base de datos.
De manera crítica, también incluye cualquier clave de API, secretos y tokens de OAuth configurados para las integraciones de correo de Gravity SMTP, incluyendo proveedores como Amazon SES, Google, Mailjet, Resend y Zoho, dándole a los atacantes todo lo necesario para enviar correos electrónicos a través de canales legítimos propiedad de la víctima.
Esta combinación de reconocimiento detallado y exposición de credenciales reduce significativamente el esfuerzo necesario para encadenar vulnerabilidades adicionales o pivotar hacia un compromiso de cuenta más amplio.
.webp)
Explotan el Plugin SMTP de WordPress
La explotación es trivial: un atacante solo necesita enviar una única solicitud GET no autenticada como GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings HTTP/1.1 y analizar el JSON resultante.
Debido a que no se aplica ninguna autenticación, protección CSRF ni comprobaciones de capacidad en el endpoint, este patrón se presta perfectamente al escaneo y recolección automatizados en todo internet, y ya existen plantillas de explotación disponibles en ecosistemas de herramientas públicas como Nuclei.
Wordfence informa que el fallo de Gravity SMTP está experimentando una explotación generalizada, con más de 17 millones de intentos de ataque bloqueados y un aumento masivo de la actividad entre el 7 y el 11 de junio de 2026, alcanzando varios millones de solicitudes por día.
CrowdSec informa asimismo de al menos 412 IP de ataque distintas entre el 27 de mayo y el 1 de junio de 2026, con la mayor actividad asociada a geografías de servicios de nube y hosting en lugar de un único grupo localizado.
Entre las fuentes más agresivas observadas bombardeando el endpoint vulnerable de mock-data se encuentran IPs como 45.148.10.95, 193.32.162.60, 176.65.148.139, 173.199.90.188, 45.148.10.120, 185.8.107.155, 185.8.106.37, 185.8.106.92, 185.8.106.145 y 176.65.148.30, cada una responsable de cientos de miles de solicitudes bloqueadas.
.webp)
Estas direcciones parecen estar vinculadas a infraestructuras de escaneo de alto volumen más que a usuarios residenciales ordinarios, lo que refuerza la idea de que la explotación es mayoritariamente automatizada y oportunista.
Sin embargo, debes tratar esta lista como indicativa y no exhaustiva, ya que nuevas IPs se unen continuamente a la superficie de ataque a medida que los scripts se propagan y botnets adicionales incorporan las comprobaciones de CVE‑2026‑4020 en sus rutinas.
Detectar la explotación es difícil porque la vulnerabilidad es de solo lectura y no modifica directamente el contenido del sitio, los usuarios o los archivos.
Como resultado, los indicadores de compromiso tradicionales, como nuevas cuentas de administrador o la presencia de webshells, pueden estar ausentes incluso cuando las credenciales ya han sido robadas.
En su lugar, debes revisar los registros de acceso del servidor web en busca de cualquier hit a /wp-json/gravitysmtp/v1/tests/mock-data, especialmente solicitudes que contengan page=gravitysmtp-settings, y correlacionarlas con marcas de tiempo, agentes de usuario e IPs maliciosas conocidas, como las enumeradas anteriormente.
Las respuestas JSON grandes de 365 KB desde esa ruta son una prueba sólida de que el informe del sistema ha sido recuperado al menos una vez.
Pasos de Remediación
La mitigación requiere una combinación de parches, rotación de credenciales y endurecimiento a nivel de red. Los propietarios de los sitios deben actualizar Gravity SMTP a la versión 2.1.5 o posterior, que soluciona el comportamiento inseguro de la API REST.
Debido a que no hay una forma fiable de demostrar que las credenciales no fueron accedidas una vez que un sitio ejecutó una versión vulnerable, todas las claves de API, secretos y tokens de OAuth asociados con Amazon SES, Google, Mailjet, Resend, Zoho u otros proveedores conectados deben rotarse inmediatamente después de aplicar el parche.
Además, los equipos de seguridad deberían considerar bloquear el acceso no autenticado a /wp-json/gravitysmtp/v1/tests/mock-data mediante la configuración del servidor web o reglas de Firewall de Aplicaciones Web (WAF) y, cuando sea factible, restringir el acceso a la API REST a rangos de IP confiables.
Fuentes:
https://cybersecuritynews.com/hackers-exploiting-wordpress-smtp-plugin/
Labels:
Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.