Zum Inhalt springen
jproxx
de en
← Zurück zum Blog

Sicherheitshinweis: Aktiv ausgenutzte Schwachstelle im WordPress-Plugin Gravity SMTP (CVE-2026-4020) — API-Schlüssel und Tokens öffentlich abgreifbar

27. Juni 2026 · jproxx Security

Unser heutiger Sicherheitshinweis betrifft eine Schwachstelle, die zwar bereits seit dem Frühjahr behoben ist, deren Tragweite sich aber gerade jetzt entfaltet, weil sie seit Anfang Juni in großem Stil ausgenutzt wird. Betroffen ist das WordPress-Plugin Gravity SMTP, das auf rund 100.000 Seiten den E-Mail-Versand über externe Dienste abwickelt. Wie in allen unseren Beiträgen ist jede Angabe gegen die zugrunde liegende Primärquelle geprüft und am Ende verlinkt.

CVE-2026-4020 — Unauthentifizierte Offenlegung sensibler Daten in Gravity SMTP (hoch)

Im Plugin Gravity SMTP von RocketGenius besteht in allen Versionen bis einschließlich 2.1.4 eine Schwachstelle, durch die sich vertrauliche Konfigurationsdaten ohne jede Anmeldung auslesen lassen. Ursache ist ein über die REST-Schnittstelle registrierter Endpunkt unter /wp-json/gravitysmtp/v1/tests/mock-data, dessen Berechtigungsprüfung (permission_callback) jeden Aufruf pauschal durchwinkt, statt die Berechtigung tatsächlich zu prüfen, und damit jedem anonymen Besucher offensteht. Wird der Endpunkt mit dem Parameter ?page=gravitysmtp-settings aufgerufen, liefert er einen rund 365 Kilobyte großen Systembericht im JSON-Format zurück, der unter anderem die PHP- und Datenbankversionen, sämtliche aktiven Plugins samt Versionsständen, Tabellennamen und — besonders heikel — die für die E-Mail-Integrationen hinterlegten API-Schlüssel und OAuth-Tokens enthält, etwa für Amazon SES, Google, Mailjet, Resend und Zoho. Ein Angreifer kann diese Zugangsdaten damit unmittelbar abgreifen und für den Versand in fremdem Namen oder den Zugriff auf die angebundenen Dienste missbrauchen. Die National Vulnerability Database führt die von Wordfence vergebene Bewertung von 7.5, stuft die Schwachstelle damit als hoch ein und ordnet sie der Schwachstellenklasse CWE-200 (Offenlegung sensibler Informationen) zu. Behoben ist die Lücke bereits seit März 2026 mit Version 2.1.5.

Warum der Hinweis gerade jetzt erfolgt

Obwohl die Korrektur seit Monaten vorliegt, ist die Schwachstelle erst im Juni zum flächendeckenden Problem geworden: Nach Angaben von Wordfence wurden bis dato mehr als 17 Millionen Ausnutzungsversuche blockiert, wobei die Angriffe Anfang Mai einsetzten und um den 6. Juni 2026 sprunghaft auf zeitweise über vier Millionen Anfragen pro Tag anstiegen. Seiten, die das Plugin nicht aktualisiert haben und weiterhin auf einer Version bis 2.1.4 laufen, geben ihre hinterlegten Zugangsdaten bei einem solchen Aufruf vollständig preis. Da der Abgriff rein lesend und ohne Spuren im Anmeldeprotokoll erfolgt, lässt sich eine erfolgte Offenlegung im Nachhinein kaum sicher ausschließen.

Was Sie jetzt tun sollten

Aktualisieren Sie Gravity SMTP unverzüglich auf Version 2.1.5 oder neuer. Wer eine verwundbare Version mit konfigurierten E-Mail-Integrationen betrieben hat, sollte darüber hinaus von einer möglichen Kompromittierung ausgehen und sämtliche betroffenen Zugangsdaten neu vergeben — also die API-Schlüssel und OAuth-Tokens der angebundenen Versanddienste rotieren — sowie die Server-Protokolle auf Aufrufe des genannten Endpunkts prüfen. Das bloße Einspielen des Updates schließt zwar die Lücke, entwertet aber nicht die Zugangsdaten, die zuvor möglicherweise bereits abgeflossen sind.

Quellen: National Vulnerability Database — CVE-2026-4020 · The Hacker News — Gravity SMTP

Unsicher, ob Sie betroffen sind? Sprechen Sie uns an.

Dieser Hinweis dient der Sicherheits-Aufklärung. Maßgeblich sind stets die offiziellen Hinweise des jeweiligen Herstellers sowie die oben verlinkten Quellen.