Nach Angaben von Defiant steckt hinter CVE-2026-4020 ein Fehler in einem REST-API-Endpunkt von Gravity SMTP. Dessen „permission_callback“ liefert demnach immer den Wert „true“ zurück. Dadurch können nicht authentifizierte GET-Anfragen einen vom Plugin erzeugten JSON-Systembericht abrufen.

Wordfence warnt, dass genau diese Schwachstelle bereits aktiv angegriffen wird. Die Firewall des Unternehmens habe bei geschützten Kunden mehr als 17 Millionen Zugriffsversuche blockiert. Einen deutlichen Anstieg registrierte Defiant am 7. Juni: An diesem Tag wurden laut dem Unternehmen 4 Millionen Anfragen abgewehrt. Ähnliche Aktivität sei auch an mehreren darauffolgenden Tagen beobachtet worden.

Die offengelegten Informationen sind laut Wordfence nicht harmlos. Trotz der Einstufung als Schwachstelle mittleren Schweregrads lässt sich CVE-2026-4020 ohne Anmeldung ausnutzen. Die preisgegebenen Daten können verwendet werden, um Zugangsdaten verbundener E-Mail-Dienste zu stehlen. Damit könnten Angreifer sich laut den Forschern gegenüber Dritten als Opfer ausgeben. Zugleich senke der detaillierte Systembericht den Aufwand erheblich, weitere Angriffe auf die jeweilige Website zu planen.

Wordfence formuliert das so: „Die Offenlegung aktiver API-Zugangsdaten von Drittanbietern bedeutet, dass ein Angreifer die mit der Website verbundenen E-Mail-Dienste missbrauchen könnte, während der detaillierte Systembericht den Aufwand für die Planung weiterer Angriffe auf die Website deutlich verringert.“

Für Administratoren nennt Defiant auch konkrete Hinweise auf eine mögliche Kompromittierung. Ein wichtiger Indikator sind Anfragen an „/wp-json/gravitysmtp/v1/tests/mock-data“ in den Zugriffsprotokollen des Webservers, insbesondere wenn der Abfrageparameter „?page=gravitysmtp-settings“ enthalten ist. Außerdem hat die Sicherheitsfirma die aus ihrer Sicht aktivsten Quell-IP-Adressen für die Exploit-Anfragen aufgelistet, die Administratoren ihren Sperrlisten hinzufügen sollen.

Behoben wurde die Lücke in Gravity SMTP mit Version 2.1.5, die am 17. März veröffentlicht wurde.

Separat veröffentlichte Defiant zudem einen weiteren Hinweis zu einer anderen WordPress-Schwachstelle: einer kritischen, nicht authentifizierten Lücke zur beliebigen Dateilöschung im Plugin Avada Builder. Diese Schwachstelle trägt die Kennung CVE-2026-8713 und betrifft laut dem Unternehmen ein Plugin, das auf einer Million Websites eingesetzt wird.

CVE-2026-8713 ermöglicht über einen Pfad-Traversal-Fehler das Löschen beliebiger Dateien auf dem Server, sofern ein veröffentlichtes Avada-Formular so konfiguriert ist, dass Einsendungen in der Datenbank gespeichert werden. Das Löschen kritischer Dateien wie „wp-config.php“ kann eine Website in den ursprünglichen Einrichtungszustand zurückversetzen und damit unter Umständen eine vollständige Übernahme der Website sowie Remotecodeausführung nach sich ziehen. Behoben wurde das Problem in Version 3.15.4. Aktive Ausnutzung von CVE-2026-8713 hat Defiant bislang nicht beobachtet.