Molte piccole imprese hanno un sito WordPress che, dietro le quinte, invia email: la conferma di un ordine, il modulo di contatto, il reset di una password. A far partire quei messaggi spesso c’e’ un plugin SMTP. Uno dei piu’ diffusi, Gravity SMTP di RocketGenius (circa 100.000 installazioni), e’ al centro di una vulnerabilita’ segnalata il 19 giugno da BleepingComputer e gia’ sfruttata in rete: CVE-2026-4020.
Cosa espone davvero la falla
Si tratta di una information disclosure non autenticata: in parole semplici, un estraneo senza credenziali puo’ inviare una richiesta al sito e ricevere in risposta un report di sistema completo. Dentro quel report ci sono versione di WordPress, plugin installati, informazioni sul server e sul database. Il punto critico e’ un altro: in alcune configurazioni il report include anche le chiavi e i token API del provider email impostato nel plugin, da Amazon SES a Mailjet, da Zoho a Resend.
Una chiave API e’ la “password” con cui il sito si autentica al servizio che spedisce le email. Se finisce nelle mani sbagliate, qualcuno puo’ usarla per inviare messaggi a vostro nome — campagne di spam o phishing che partono dal vostro dominio, con il rischio di bruciarne la reputazione e finire in blacklist.
Gravity SMTP di RocketGenius conta circa centomila installazioni attive. La falla CVE-2026-4020 riguarda tutte le versioni fino alla 2.1.4 inclusa; la correzione e' nella 2.1.5. Wordfence ha registrato un picco di tentativi di sfruttamento il 7 giugno.
Fonte: BleepingComputer, GitHub Advisory Database — giugno 2026
Perche’ aggiornare non basta
L’istinto e’ aggiornare il plugin e considerare chiusa la questione. La patch (versione 2.1.5) e’ il primo passo obbligatorio, ma se la falla era aperta da settimane il problema e’ che le chiavi potrebbero essere gia’ uscite. Aggiornare blocca la perdita futura, non annulla quella eventualmente gia’ avvenuta. Per questo la mossa che conta davvero e’ la seconda: ruotare le chiavi, cioe’ revocarle e generarne di nuove nel pannello del provider email. E’ una procedura di pochi minuti che invalida qualsiasi chiave eventualmente sottratta.
1) Aggiornare Gravity SMTP alla versione 2.1.5 o superiore. 2) Accedere al provider email (SES, Mailjet, Zoho, Resend, SendGrid) e rigenerare le chiavi/token API, aggiornandoli poi nel plugin. 3) Controllare i log di invio del provider degli ultimi giorni per individuare email anomale partite dal proprio dominio.
In breve
CVE-2026-4020 trasforma un plugin di servizio in una possibile via d’uscita per le credenziali che fanno partire le vostre email. Per una PMI le azioni sono tre, in sequenza: aggiornare a Gravity SMTP 2.1.5, rigenerare le chiavi API del provider email, controllare i log di invio alla ricerca di messaggi che non avete autorizzato. Sono verifiche da chiedere al proprio referente IT o all’agenzia che gestisce il sito questa settimana, a costo zero.