WordPress-Plugin Gravity SMTP leakt über CVE-2026-4020 sensible Systemdaten

Zusammenfassung

Angreifer nutzen nach Angaben von Defiant aktiv eine Schwachstelle im WordPress-Plugin Gravity SMTP aus, um sensible Informationen aus betroffenen Websites auszulesen. Betroffen sind alle Versionen vor 2.1.5. Die als CVE-2026-4020 erfasste Lücke hat einen CVSS-Wert von 5,3 und wird laut dem Sicherheitsanbieter seit Anfang Mai in freier Wildbahn ausgenutzt. Gravity SMTP dient dazu, E-Mails direkt aus WordPress-Websites über verschiedene SMTP-Anbieter und API-basierte Dienste zu versenden und nachzuverfolgen. Die Schwachstelle sitzt in einem REST-API-Endpunkt, der ohne Authentifizierung erreichbar ist und bei einem bestimmten Parameter interne Verbindungsdaten im JSON-Format zurückliefert. Dadurch können Unbefugte unter anderem API-Schlüssel, Geheimnisse, Tokens, Serverinformationen, Datenbankdetails sowie Angaben zu aktiven Plugins und Themes abrufen. Defiant zufolge hat die Angriffswelle in diesem Monat deutlich zugenommen; das Unternehmen will bislang mehr als 17 Millionen Ausnutzungsversuche blockiert haben.

Nach Darstellung von Defiant liegt das Problem in einem REST-API-Endpunkt, der innerhalb einer gemeinsam genutzten Bibliothek für ein System zur Konfigurationssammlung registriert wurde. Dieser Endpunkt führt weder eine Authentifizierungs- noch eine Berechtigungsprüfung durch. Er liefert bedingungslos „wahr“ zurück und ist dadurch für jeden nicht angemeldeten Nutzer erreichbar.

Wird an die Anfrage ein bestimmter Parameter angehängt, gibt der Endpunkt interne Connector-Daten als JSON aus. Diese Daten enthalten den vollständigen Systembericht der WordPress-Installation. Dazu gehören laut dem Bericht Konfigurationsdaten wie die PHP- und WordPress-Version, geladene Erweiterungen, Details zum Webserver, der Pfad zum Dokumentenstamm, Datenbankinformationen, aktive Plugins und das verwendete Theme, außerdem WordPress-Konfigurationsdetails sowie eingerichtete API-Schlüssel und Tokens.

Defiant warnt, dass sich auf diesem Weg Zugangsdaten abgreifen lassen könnten, die zum Versand von E-Mails im Namen der betroffenen Website genutzt werden können. Zusätzlich erhielten Angreifer detaillierte Aufklärungsdaten über den Software-Stack einer Seite, die sich laut Defiant verwenden lassen, um weitere Schwachstellen zu identifizieren und gezielt anzugreifen.

Das Unternehmen beobachtet nach eigenen Angaben seit Anfang Mai aktive Ausnutzung von CVE-2026-4020. Die Angreifer schicken demnach nicht authentifizierte GET-Anfragen an den verwundbaren Endpunkt, um das vollständige JSON-Objekt des Systemberichts abzurufen. In diesem Monat hat Defiant nach eigenen Angaben einen deutlichen Anstieg der Angriffe auf die Schwachstelle registriert und bisher mehr als 17 Millionen Exploit-Versuche blockiert.

Betreiber von Websites sollen ihre Gravity-SMTP-Installationen so schnell wie möglich auf Version 2.1.5 aktualisieren. Außerdem rät Defiant dazu, die Server-Zugriffsprotokolle auf Anfragen an den betroffenen Endpunkt zu prüfen, weil die laufende Ausnutzung keine anderen offensichtlichen Spuren hinterlässt.

Wer eine verwundbare Version von Gravity SMTP einsetzt und E-Mail-Integrationen von Drittanbietern konfiguriert hat, sollte laut Defiant davon ausgehen, dass die zugehörigen API-Schlüssel, Geheimnisse und OAuth-Tokens offengelegt worden sein könnten. Als Beispiele nennt das Unternehmen Amazon SES, Google, Mailjet, Resend und Zoho. Nach der Aktualisierung des Plugins empfiehlt Defiant, diese Zugangsdaten auszutauschen.

WordPress-Plugin Gravity SMTP leakt über CVE-2026-4020 sensible Systemdaten

Ähnliche Artikel

Neueste Artikel