Das WordPress-Plugin Gravity SMTP, das auf etwa 100 000 Websites installiert ist, wird derzeit im großen Stil über die Schwachstelle CVE-2026-4020 (CVSS 5.3) ausgenutzt. Trotz der mittleren Einstufung nach CVSS ist die tatsächliche Gefahr dieser Schwachstelle deutlich höher als der Basis-Score vermuten lässt: Ein nicht authentifizierter Angreifer kann mit nur einer einzigen HTTP-Anfrage die API-Keys von Maildiensten, OAuth-Tokens und einen vollständigen Systembericht der Website abgreifen. Nach Angaben von Wordfence wurden mehr als 17 Millionen Exploit-Versuche blockiert. Betreiber betroffener Websites müssen das Plugin umgehend auf Version 2.1.5 aktualisieren und sämtliche Zugangsdaten der Mail-Integrationen rotieren.
Technischer Kern der Schwachstelle
Der Kern des Problems ist ein REST API-Endpoint, der unter dem Pfad /wp-json/gravitysmtp/v1/tests/mock-data registriert ist. Wie die Forscher von Wordfence berichten, gibt der Parameter permission_callback dieses Endpoints bedingungslos true zurück, wodurch die Authentifizierungsprüfung vollständig ausgehebelt wird. Jeder Besucher kann den Endpoint somit ohne jegliche Zugangsdaten aufrufen.
Wird dem Request der Parameter ?page=gravitysmtp-settings hinzugefügt, wird die Methode register_connector_data() ausgelöst, die die internen Daten der Konnektoren befüllt. In der Folge gibt der Endpoint rund 365 KB JSON-Daten zurück, die einen vollständigen Systembericht enthalten. Der Umfang der offengelegten Informationen ist kritisch:
- API-Keys und Tokens von Maildiensten — Amazon SES, Google, Mailjet, Resend, Zoho
- PHP-Version und geladene Erweiterungen
- Version des Webservers und Pfad zum Root-Verzeichnis
- Typ und Version des Datenbankservers, Tabellennamen
- WordPress-Version, Liste aller aktiven Plugins mit Versionsangaben, aktive Theme
- Konfigurationsdetails von WordPress
Faktisch verschafft ein einziger nicht authentifizierter GET-Request dem Angreifer eine vollständige Karte des Technologiestacks der Website sowie gültige Zugangsdaten zu externen Diensten. Damit wird eine Schwachstelle mit formal mittlerem CVSS-Score zu einer gravierenden Bedrohung: Der Angreifer erhält nicht nur Informationen, sondern funktionsfähige Zugangsschlüssel zur Mail-Infrastruktur.
Umfang und Zeitverlauf der Ausnutzung
Laut der Telemetrie von Wordfence begann das Scannen des verwundbaren Endpoints Anfang Mai 2026. Die Aktivität stieg um den 6. Juni 2026 sprunghaft an und erreichte ihren Höhepunkt — mehr als 4 000 000 Anfragen pro Tag — am darauffolgenden Tag. Insgesamt registrierte und blockierte Wordfence über 17 Millionen Exploit-Versuche.
Bei den Angriffen handelt es sich um einfache HTTP GET-Requests an den verwundbaren Endpoint mit dem Parameter ?page=gravitysmtp-settings. Die niedrige Einstiegshürde — keine erforderliche Authentifizierung, keine komplexen Exploit-Ketten oder spezielles Werkzeug — erklärt den derart massenhaften Charakter des Scannings.
Indikatoren einer Kompromittierung
Wordfence hat die folgenden IP-Adressen als Angriffsquellen identifiziert:
- 45.148.10.95
- 45.148.10.120
- 193.32.162.60
- 176.65.148.139
- 176.65.148.30
- 173.199.90.188
- 185.8.107.155
- 185.8.106.37
- 185.8.106.92
- 185.8.106.145
Die auffällige Clusterbildung der Adressen in den Subnetzen 185.8.106.0/24, 185.8.107.0/24, 45.148.10.0/24 und 176.65.148.0/24 deutet auf die Nutzung eines begrenzten Satzes von Hosting-Providern oder einer VPS-Infrastruktur für koordiniertes Scanning hin.
Bewertung der Auswirkungen
Die Folgen einer erfolgreichen Ausnutzung gehen über eine typische Informationsoffenlegung hinaus. Hat ein Angreifer gültige API-Keys von Maildiensten erlangt, kann er E-Mails im Namen der kompromittierten Website versenden. Das eröffnet Möglichkeiten für Phishing-Kampagnen, die Verbreitung von Malware über vertrauenswürdige Domains und die Kompromittierung geschäftlicher Kommunikation.
Der detaillierte Systembericht — Versionen sämtlicher Komponenten des Stacks, Plugin-Liste, Datenbankstruktur — reduziert den Aufwand für die Vorbereitung gezielter Angriffe erheblich. Ein Angreifer kann Exploits passgenau auf die konkreten Versionen der installierten Software auswählen, ohne zusätzliche Aufklärungsarbeit leisten zu müssen.
Am stärksten gefährdet sind Websites, die Gravity SMTP mit eingerichteten Integrationen zu Amazon SES, Google Workspace, Mailjet, Resend oder Zoho einsetzen — genau deren Zugangsdaten werden im offengelegten Bericht preisgegeben.
Empfehlungen zur Reaktion
- Aktualisieren Sie umgehend das Gravity-SMTP-Plugin auf Version 2.1.5, in der die Schwachstelle nach Angaben von Wordfence behoben wurde.
- Gehen Sie von einer Kompromittierung aus, falls das Plugin mit eingerichteten Mail-Integrationen vor dem Update im Einsatz war. Rotieren Sie alle API-Keys und Tokens für Amazon SES, Google, Mailjet, Resend, Zoho und andere angebundene Dienste.
- Überprüfen Sie die Server-Logs auf GET-Requests zum Pfad
/wp-json/gravitysmtp/v1/tests/mock-data, insbesondere mit dem Parameter?page=gravitysmtp-settings. Achten Sie dabei auf Anfragen von den oben aufgeführten IP-Adressen. - Blockieren Sie die genannten IP-Adressen auf Ebene des WAF oder des Webservers.
- Prüfen Sie die Logs der Maildienste auf unautorisierte E-Mail-Sendungen über kompromittierte Zugangsdaten.
Dieser Vorfall zeigt, dass ein CVSS-Score von 5.3 die tatsächliche Gefahr nicht widerspiegelt, wenn die offengelegten Daten gültige Konten externer Dienste umfassen. Für Betreiber von Websites mit Gravity SMTP ist es entscheidend, sich nicht auf das Plugin-Update zu beschränken: Ohne Rotation aller Keys und Tokens der Mail-Integrationen bleiben von Angreifern zuvor abgegriffene Zugangsdaten weiterhin gültig und können für Angriffe genutzt werden — unabhängig davon, ob die eigentliche Schwachstelle inzwischen geschlossen ist.
