Thought Leadership
Eine Sicherheitslücke im WordPress-Plugin Gravity SMTP wird aktiv ausgenutzt. Angreifer können unauthentifiziert API-Schlüssel und Systemberichte auslesen.
Angreifer nutzen derzeit eine Sicherheitslücke in dem WordPress-Plugin Gravity SMTP aus, das auf rund 100.000 Websites installiert ist. Die Schwachstelle mit der Kennung CVE-2026-4020 ermöglicht es unauthentifizierten Besuchern, sensible Konfigurationsdaten, OAuth-Token und API-Schlüssel auszulesen. Die Ursache liegt in einer fehlerhaft konfigurierten REST-API-Schnittstelle unter dem Pfad /wp-json/gravitysmtp/v1/tests/mock-data. Der dort hinterlegte Berechtigungs-Callback gibt ohne Prüfung den Wert wahr zurück. Wenn Angreifer den Abfrageparameter ?page=gravitysmtp-settings anfügen, generiert das Plugin einen vollständigen Systembericht im JSON-Format mit einer Größe von etwa 365 Kilobyte.
Umfangreiche Systemdaten und Zugangsdaten von WordPress gehackt
Der kompromittierte Systembericht enthält detaillierte Informationen über die Server- und Softwareumgebung der betroffenen Website. Dazu gehören unter anderem die Versionen von PHP, WordPress und dem Webserver, Namen von Datenbanktabellen sowie eine Liste aller aktiven Plugins und Themes. Besonders kritisch ist der Abfluss von API-Schlüsseln für integrierte E-Mail-Dienste wie Amazon SES, Google, Mailjet, Resend und Zoho. Mit diesen Daten können Kriminelle E-Mails im Namen der betroffenen Domain versenden. Das Sicherheitsunternehmen Wordfence äußerte sich zu den Auswirkungen:
„Wie bei allen Sicherheitslücken, die sensible Informationen offenlegen, hängt die Auswirkung davon ab, welche Daten offengelegt werden. In diesem Fall bedeutet die Offenlegung aktiver API-Zugangsdaten von Drittanbietern, dass ein Angreifer die mit der Website verbundenen E-Mail-Dienste missbrauchen könnte, während der detaillierte Systembericht den Aufwand für die Planung weiterer Angriffe auf die Website erheblich verringert.“
Wordfence
Millionen automatisierte Angriffe erfordern schnelles Handeln
Die Schwachstelle wird bereits in großem Umfang für automatisierte Angriffe ausgenutzt. Wordfence registrierte seit Beginn des Monats Mai 2026 mehr als 17 Millionen Angriffsversuche, mit einem massiven Anstieg am 6. Juni 2026 auf über vier Millionen Anfragen pro Tag. Zur Behebung des Sicherheitsrisikos haben die Entwickler die Version 2.1.5 des Plugins veröffentlicht. Betreiber von Websites, die eine ältere Version nutzen und externe E-Mail-Dienste angebunden haben, sollten nach dem Update sämtliche betroffenen API-Schlüssel und Passwörter neu generieren, da von einer Kompromittierung ausgegangen werden muss. Zudem wird empfohlen, die Server-Logdateien auf verdächtige Zugriffe zu überprüfen.
(red)
