Bei CVE-2026-4020 geht es nicht um einen komplexen Einbruch in WordPress-Systeme. Es reicht eine unauthentifizierte Anfrage an einen REST-Endpunkt des Gravity-SMTP-Plugins. Die Antwort kann Systemdaten liefern, Plugin-Informationen, Serverdetails und in bestimmten Konfigurationen auch API-Schlüssel oder OAuth-Tokens für E-Mail-Dienste.
Genau das macht den Fall relevant. Die Schwachstelle ist formal als Offenlegung sensibler Informationen klassifiziert und mit einem CVSS-Wert von 5.3 im mittleren Bereich bewertet. Operativ kann sie trotzdem deutlich mehr leisten als ein gewöhnliches Informationsleck. Wer API-Schlüssel für Amazon SES, Google, Mailjet, Resend oder Zoho erhält, bekommt nicht nur einen Blick auf die Konfiguration einer Website. Er bekommt Material, mit dem sich weitere Angriffe vorbereiten oder E-Mail-Infrastruktur missbrauchen lassen.
Ein Test-Endpunkt als Datenquelle
Betroffen sind alle Versionen des Gravity SMTP WordPress Plugins bis einschließlich 2.1.4. Die bereinigte Version ist 2.1.5. Der Fehler liegt in einem REST-API-Endpunkt: /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings. Dessen Zugriffskontrolle ist unzureichend umgesetzt. Die Berechtigungsprüfung lässt Anfragen ohne Anmeldung passieren.
Das ist technisch unspektakulär, aber sicherheitlich folgenreich. Der Endpunkt kann einen umfangreichen Systembericht zurückgeben. Dazu gehören PHP- und Webserver-Versionen, WordPress-Versionsdetails, aktive Plugins, Datenbankmetadaten und je nach Einrichtung sensible Zugangsdaten des Plugins. Für Angreifer ist das kein Zufallsfund, sondern eine verwertbare Inventarliste.
Gravity SMTP ist auf schätzungsweise 100.000 aktiven WordPress-Installationen im Einsatz. Wordfence beobachtete die aktive Ausnutzung ab dem 27. Mai 2026 und blockierte bis zum 17. Juni mehr als 17 Millionen Angriffsversuche. Am 7. Juni lag der Spitzenwert bei über 4 Millionen Anfragen an einem einzigen Tag. Die öffentliche Offenlegung erfolgte am 30. März 2026, nachdem der Hersteller am 17. März die Version 2.1.5 bereitgestellt hatte.
Warum SMTP-Zugangsdaten mehr sind als Mail-Konfiguration
SMTP-Plugins wirken in vielen WordPress-Installationen wie administrative Hilfssoftware. Sie sorgen dafür, dass Kontaktformulare, Shop-Benachrichtigungen, Passwort-Resets oder Systemmails zuverlässig zugestellt werden. Dafür benötigen sie Zugangsdaten zu externen E-Mail-Diensten. Diese Schlüssel liegen oft tief in der technischen Peripherie einer Website, werden selten überprüft und nach der Einrichtung kaum noch angefasst.
Für Angreifer ist gerade diese Peripherie interessant. Ein kompromittierter E-Mail-Dienst kann für Spam und Phishing genutzt werden. Er kann auch dazu dienen, Nachrichten mit höherer Glaubwürdigkeit zu versenden, weil sie aus einer bestehenden Infrastruktur stammen. In manchen Fällen reicht schon der Zugriff auf Versandfunktionen, um Kunden, Mitarbeitende oder Administratoren gezielter anzusprechen.
Der Wert liegt nicht allein im direkten Missbrauch. API-Schlüssel und Tokens zeigen, welche Dienste eine Organisation nutzt. Zusammen mit WordPress-Versionen, Plugin-Listen und Serverdaten entsteht ein technisches Profil. Daraus lassen sich Folgeschritte ableiten: Welche Komponenten sind veraltet? Welche Provider sind eingebunden? Welche Angriffsflächen könnten noch erreichbar sein?
Der schwache Punkt liegt in der Zugriffskontrolle
Die Gravity-SMTP-Schwachstelle ist ein Beispiel für ein wiederkehrendes Problem im WordPress-Ökosystem: Plugins erweitern Websites um Funktionen, übernehmen aber zugleich Zugriff auf externe Konten, interne Konfigurationen und operative Abläufe. Wenn ein Diagnose- oder Test-Endpunkt nicht sauber abgesichert ist, wird aus einer Wartungsfunktion ein externer Auskunftsdienst.
Das unterscheidet solche Vorfälle von klassischen Website-Defacements oder einfachen Spam-Injektionen. Hier muss der Angreifer nicht zwingend Code ausführen oder sich einloggen. Er kann Informationen abziehen, sortieren und später verwenden. Die Ausnutzung ist billig, automatisierbar und für große Scan-Kampagnen geeignet. Die hohen Zahlen blockierter Anfragen deuten genau darauf hin: nicht auf wenige gezielte Einbrüche, sondern auf massenhafte Erfassung verwundbarer Installationen.
Für RocketGenius, den Entwickler des Plugins, ist der Patch zwar der zentrale technische Schritt. Für Betreiber reicht die Installation von Version 2.1.5 aber nur dann aus, wenn keine Zugangsdaten bereits abgeflossen sind. Bei Informationslecks ist der Zeitpunkt der Schließung nicht identisch mit dem Ende des Risikos.
Der Patch beendet nicht die Folgearbeit
Wer Gravity SMTP bis Version 2.1.4 eingesetzt hat, muss zunächst aktualisieren. Danach beginnt der unangenehmere Teil: Prüfung und Rotation. Potenziell offengelegte API-Schlüssel und OAuth-Tokens sollten ersetzt werden, insbesondere wenn sie für Amazon SES, Google, Mailjet, Resend oder Zoho konfiguriert waren. Wo möglich, sollten Protokolle der jeweiligen Anbieter auf ungewöhnliche Versandmuster, neue Absender, auffällige Volumina oder fehlgeschlagene Authentifizierungen geprüft werden.
Auch die Webserver- und WordPress-Logs sind relevant. Anfragen auf den betroffenen Pfad liefern Hinweise darauf, ob eine Installation gescannt oder abgefragt wurde. Der Nachweis ist nicht immer vollständig, weil viele Betreiber Logs nur kurz aufbewahren oder Schutzsysteme davorstehen. Dennoch ist die Prüfung sinnvoll, weil sie den Umfang der notwendigen Rotation und Benachrichtigung eingrenzen kann.
Der Fall zeigt außerdem, warum ein mittlerer CVSS-Wert nicht automatisch ein mittleres Betriebsrisiko bedeutet. Die Bewertung beschreibt die Schwachstelle in abstrakten Kriterien. Der operative Kontext entscheidet, was daraus wird. Ein öffentlich erreichbarer Endpunkt, ein verbreitetes Plugin und Zugangsdaten zu externen Diensten ergeben eine andere Lage als ein isolierter Informationsfehler ohne verwertbare Geheimnisse.
Die eigentliche Kostenstelle entsteht nach dem Leak
Für Betreiber kleiner und mittlerer WordPress-Sites ist der Aufwand besonders unangenehm. Viele dieser Installationen werden von Agenturen, Freelancern oder internen Teams betreut, die nicht täglich Credential-Rotation, Log-Analyse und Provider-Kontrollen durchführen. Ein Plugin-Update ist Routine. Das saubere Ersetzen von Schlüsseln über mehrere externe Dienste hinweg ist es oft nicht.
Die Gewinner solcher Lücken sind deshalb nicht nur Angreifer, die sofort verwertbare Zugangsdaten finden. Gewinner sind auch jene, die technische Profile sammeln und später verkaufen oder für Folgeangriffe nutzen. Verlierer sind Website-Betreiber, deren Infrastruktur plötzlich als Teil einer größeren Angriffskette taugt, ohne dass die eigentliche Website sichtbar verändert wurde.
CVE-2026-4020 ist damit weniger ein spektakulärer WordPress-Einbruch als ein nüchterner Hinweis auf eine operative Schwäche: Plugins verwalten längst nicht mehr nur Website-Funktionen. Sie halten Zugangsdaten zu externen Diensten, dokumentieren technische Umgebungen und verbinden kleine Websites mit größerer Infrastruktur. Wenn diese Schicht ungeschützt Daten ausgibt, wird aus einem Plugin-Bug ein brauchbarer Lageplan für den nächsten Angriff.
