Angreifer nutzen Lücke in WordPress-Plugin Gravity SMTP aus und legen API-Schlüssel offen

Zusammenfassung

Eine kürzlich geschlossene Schwachstelle im WordPress-Plugin Gravity SMTP wird bereits aktiv ausgenutzt. Betroffen ist ein auf rund 100.000 Websites installiertes Plugin, dessen Fehler es nicht authentifizierten Angreifern erlaubt, sensible Informationen aus einer REST-API abzurufen. Nach Angaben von Wordfence handelt es sich bei CVE-2026-4020 mit einem CVSS-Wert von 5,3 um eine Schwachstelle mittlerer Schwere, über die sich unter anderem Konfigurationsdaten, API-Schlüssel, Geheimnisse und OAuth-Tokens aus den für das Plugin eingerichteten E-Mail-Integrationen auslesen lassen. Ursache ist ein Endpunkt unter "/wp-json/gravitysmtp/v1/tests/mock-data", dessen Berechtigungsprüfung laut Wordfence bedingungslos Zugriff gewährt. Wird zusätzlich der Parameter "?page=gravitysmtp-settings" angehängt, liefert der Server demnach einen rund 365 Kilobyte großen JSON-Systembericht zurück. Für Betreiber verwundbarer Installationen ist das relevant, weil die offengelegten Zugangsdaten für den Versand von E-Mails im Namen der Website missbraucht werden könnten und der Systembericht die weitere Aufklärung des Ziels erleichtert.

Wordfence zufolge liegt der Fehler in der Art, wie Gravity SMTP einen REST-API-Endpunkt registriert. Die zugehörige Berechtigungsfunktion gebe stets „wahr“ zurück und ermögliche damit jedem nicht authentifizierten Besucher den Zugriff auf den Endpunkt “/wp-json/gravitysmtp/v1/tests/mock-data”. Kommt der Query-Parameter “?page=gravitysmtp-settings” hinzu, füllt die Methode “register_connector_data()” interne Verbindungsdaten auf, sodass der Endpunkt einen vollständigen Systembericht als JSON zurückgibt.

Über CVE-2026-4020 können Angreifer laut Wordfence sensible Daten wie Konfigurationsinformationen, API-Schlüssel, Geheimnisse und OAuth-Tokens aus den E-Mail-Integrationen des Plugins extrahieren. Wordfence betont, dass die Auswirkungen bei Schwachstellen zur Offenlegung sensibler Informationen davon abhängen, welche Daten tatsächlich offengelegt werden. In diesem Fall seien besonders die produktiven Zugangsdaten externer Dienste kritisch, weil sich damit die angebundenen E-Mail-Dienste einer Website missbrauchen ließen.

Hinzu kommt nach Einschätzung von Wordfence, dass der detaillierte Systembericht umfangreiche Informationen über den Software-Stack einer Website preisgibt. Das senke den Aufwand für die Planung weiterer Angriffe deutlich. Der Angriff selbst ist technisch simpel: Laut Bericht senden die Täter nicht authentifizierte HTTP-GET-Anfragen an den verwundbaren REST-Endpunkt und hängen den Parameter “?page=gravitysmtp-settings” an, woraufhin der Server die Informationen ohne Anmeldung zurückliefert.

Ein Patch steht inzwischen in Version 2.1.5 des Plugins bereit. Dennoch wird die Lücke bereits missbraucht. Wordfence hat nach eigenen Angaben bislang mehr als 17 Millionen Ausnutzungsversuche gegen CVE-2026-4020 blockiert. Die ersten Aktivitäten begannen demnach Anfang Mai 2026 und nahmen um den 6. Juni 2026 stark zu. Einen Tag später erreichte das Volumen laut Wordfence einen Höchststand von mehr als 4.000.000 Anfragen.

Der Quelltext nennt zudem mehrere IP-Adressen, von denen die Ausnutzungsversuche ausgingen. Betreiber von Websites, auf denen eine verwundbare Version von Gravity SMTP läuft und die E-Mail-Integrationen von Drittanbietern konfiguriert haben, sollten laut Wordfence von einer Kompromittierung ausgehen. Nach dem Update auf die aktuelle Plugin-Version sollten die verwendeten Zugangsdaten ausgetauscht werden. Außerdem empfiehlt Wordfence, Server-Protokolle auf verdächtige Anfragen an den API-Endpunkt zu prüfen, insbesondere wenn sie von den genannten IP-Adressen stammen.

Angreifer nutzen Lücke in WordPress-Plugin Gravity SMTP aus und legen API-Schlüssel offen

Ähnliche Artikel

Neueste Artikel