Gravity SMTP: Unauthentifizierte Lücke leakt API-Schlüssel und Systemdaten WordPress-Sites

Die WordPress-Erweiterung Gravity SMTP mit rund 100.000 aktiven Installationen ist von einer kritischen Schwachstelle betroffen, die unauthentifizierten Angreifern den Zugriff auf den vollständigen Systembericht einer Website ermöglicht, inklusive aller konfigurierten API-Schlüssel, Secrets und OAuth-Tokens für E-Mail-Dienste. Die Lücke wird unter CVE-2026-4020 geführt und betrifft alle Versionen bis einschließlich 2.1.4. Wordfence hat seit Anfang Juni 2026 über 17 Millionen Ausnutzungsversuche blockiert. Der Hersteller hat die gepatchte Version 2.1.5 am 17. März 2026 veröffentlicht.

Was passiert ist

Gravity SMTP nutzt eine gemeinsame Bibliothek, die auch in anderen Gravity-Forms-Produkten zum Einsatz kommt. Diese Bibliothek stellt ein Konfigurationssystem bereit, das Plugin-Daten über wp_localize_script() an das JavaScript-Frontend übergibt. Als Teil dieser Bibliothek registriert das Plugin einen REST-API-Endpunkt unter /wp-json/gravitysmtp/v1/tests/mock-data. Das Problem: Die permission_callback dieses Endpunkts gibt bedingungslos true zurück, was bedeutet, dass keine Authentifizierung oder Berechtigungsprüfung stattfindet.

Der Code sieht so aus:

register_rest_route( $this->rest_namespace, '/tests/mock-data', array(
    'methods'             => 'GET',
    'callback'            => array( $self, 'config_mocks_endpoint' ),
    'permission_callback' => function () {
        return true;
    },
) );

Wenn ein Angreifer den Endpunkt mit dem Parameter ?page=gravitysmtp-settings aufruft, befüllt die register_connector_data()-Methode die internen Verbindungsdaten. Das führt dazu, dass der Endpunkt ungefähr 365 KB JSON-Daten zurückgibt, die den vollständigen Systembericht enthalten.

Was preisgegeben wird

Der Systembericht umfasst eine breite Palette sensibler Informationen:

Die Preisgabe der Drittanbieter-Zugangsdaten ist besonders kritisch. Ein Angreifer kann diese Credentials nutzen, um E-Mails im Namen der betroffenen Website zu versenden, was für Phishing-Kampagnen, Spam-Verteilung oder Social-Engineering-Angriffe missbraucht werden kann. Die detaillierten Systeminformationen senken zudem den Aufwand für weitere Angriffe erheblich, da der Angreifer die komplette Software-Umgebung kennt.

Wie Angreifer vorgehen

Die Ausnutzung ist trivial und erfordert nur einen einzigen unauthentifizierten GET-Request:

GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings HTTP/1.1
Host: [target-site]
User-Agent: Mozilla/5.0

Keine Authentifizierung, kein CSRF-Token, kein Cookie. Der Server antwortet mit dem vollständigen Systembericht als JSON-Objekt. Wordfence hat eine, eine massive Ausnutzungswelle zwischen dem 7. und 11. Juni 2026 beobachtet, mit einem Spitzenwert von über 4 Millionen Blockierungen am 7. Juni allein.

Angriffsdaten im Überblick

Wordfence hat seit Beginn der Ausnutzungswelle über 17 Millionen Angriffsversuche blockiert. Die zehn am stärksten aktivierten Angreifer-IP-Adressen:

Auffällig ist, dass mehrere IP-Adressen aus dem 185.8.106.x-Subnetz stammen, was auf einen koordinierten Botnet-Betrieb hindeutet. Auch das 45.148.10.x-Subnetz ist mit zwei IP-Adressen vertreten.

Was betroffene Seiten jetzt tun müssen

Administratoren, die Gravity SMTP einsetzen, sollten sofort handeln. Folgende Schritte sind zwingend:

1. Plugin aktualisieren: Auf Version 2.1.5 oder neuer updaten. Das Update schließt die Lücke, indem die permission_callback korrigiert wird.
2. Zugangsdaten rotieren: Alle API-Schlüssel, Secrets und OAuth-Tokens für E-Mail-Integrationen (Amazon SES, Google, Mailjet, Resend, Zoho) müssen neu vergeben werden. Ein Update allein reicht nicht, da die alten Credentials bereits abgeflossen sein können.
3. Access-Logs prüfen: Webserver-Logs auf Requests an /wp-json/gravitysmtp/v1/tests/mock-data durchsuchen, insbesondere solche mit ?page=gravitysmtp-settings. Die oben genannten IP-Adressen sollten besonders geprüft werden.
4. E-Mail-Dienste kontrollieren: Prüfen, ob die E-Mail-Integrationen nach der Lücke missbraucht wurden, etwa durch ungewöhnliche Versandvolumina oder unbekannte Absender.
5. WordPress-Installation prüfen: Da der Systembericht die gesamte Software-Umgebung offenbart, sollten betroffene Sites auf weitere Kompromittierungszeichen geprüft werden.

Einordnung der Lücke

Die Schwachstelle ist mit CVSS 3.1 Score 5.3 (Medium) eingestuft. CVE-2026-4020 wurde von Osvaldo Noe Gonzalez Del Rio gemeldet, der dafür 800 Dollar Bounty erhielt. Wordfence Premium, Care und Response Nutzer erhielten die Firewall-Regel am 5. Mai 2026, Nutzer der kostenlosen Version 30 Tage später am 4. Juni 2026. Bemerkenswert ist, dass Wordfence die Firewall-Regel nicht im Rahmen des Standard-Disclosure-Prozesses erstellt hatte, weil die anfängliche Bewertung unter dem Schwellenwert lag. Erst als die aktive Ausnutzung begann, wurde die Regel implementiert.

Die Schwachstelle zeigt ein wiederkehrendes Problem im WordPress-Ökosystem: REST-API-Endpunkte, deren permission_callback fehlerhaft implementiert ist. Das WordPress-Codex rät explizit davon ab, __return_true oder eine Funktion zu verwenden, die immer true zurückgibt. Stattdessen sollte immer current_user_can() mit einer passenden Capability verwendet werden.

Passende Anleitungen auf S-EDV

1. WordPress nativ auf Ubuntu installieren – Saubere WordPress-Installation mit Härtung direkt ab dem Start.
2. WordPress Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor – Weiteres Beispiel für Plugin-Risiken in WordPress.
3. WordPress-Plugin Kirki: CVE-2026-8206 ermöglicht Admin-Übernahme – Eine weitere kritische WordPress-Plugin-Lücke.

Quellen

1. Wordfence: Attackers Actively Exploiting Sensitive Information Exposure Vulnerability in Gravity SMTP Plugin
2. Wordfence Intelligence: Gravity SMTP Vulnerability Details (CVE-2026-4020)
3. NVD: CVE-2026-4020 Detail
4. WordPress REST API Handbook: permission_callback