Gravity SMTP (WordPress) CVE-2026-4020: Unauthentifizierte Info-Disclosure aktiv ausgenutzt

Kurzfazit
Angreifer nutzen aktiv eine kürzlich gepatchte Schwachstelle (CVE-2026-4020) im WordPress-Plugin Gravity SMTP aus, das auf rund 100.000 Sites installiert ist. Die unauthentifizierte Information-Disclosure-Lücke gibt API-Schlüssel, Secrets, Tokens und Serverinformationen preis — wertvolles Material für Folgeangriffe.
Was ist passiert?
Bedrohungsakteure nutzen laut Quellen aktiv eine kürzlich gepatchte Schwachstelle im WordPress-Plugin Gravity SMTP aus, die als CVE-2026-4020 geführt wird. Das Plugin ist auf rund 100.000 Sites installiert. Es handelt sich um eine unauthentifizierte Information-Disclosure-Lücke: verwundbare Plugin-Versionen geben API-Schlüssel, Secrets, Tokens, Serverinformationen und weitere Daten preis. Ein Patch steht bereits zur Verfügung.
Warum ist das relevant?
Ohne Authentifizierung abgreifbare Secrets sind ein Steigbügel für Folgeangriffe: geleakte API-Schlüssel und Tokens erlauben unter Umständen Zugriff auf E-Mail-Versand, angebundene Dienste oder weitere Systeme — weit über die betroffene WordPress-Site hinaus. Da die Lücke bereits aktiv ausgenutzt wird und Daten passiv abfließen, kann eine Kompromittierung unbemerkt bleiben.
Betroffene Branchen und Technologien
Betroffen sind Betreiber von WordPress-Sites mit dem Plugin Gravity SMTP. Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor; relevant ist jede Organisation mit einer entsprechenden, nicht aktualisierten Installation.
Priorisierungssignale
- Aktive Ausnutzung in der Wildnis
- Unauthentifiziert ausnutzbar
- Preisgabe von Secrets/API-Keys/Tokens (Eskalationspotenzial)
- Breite Verbreitung (~100.000 Sites)
Defensive Empfehlungen
- Gravity SMTP umgehend auf die gepatchte Version aktualisieren (CVE-2026-4020).
- Alle über das Plugin erreichbaren Secrets als kompromittiert behandeln: API-Schlüssel, SMTP-/Service-Tokens rotieren.
- WordPress-Installation und Server-Logs auf unautorisierte Zugriffe und Abfluss von Konfigurationsdaten prüfen.
- Plugin-Bestand inventarisieren und nicht benötigte Plugins entfernen.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von SecurityWeek, The Hacker News und BleepingComputer.
Was Security-Teams jetzt prüfen sollten
- 1Gravity SMTP umgehend auf die gepatchte Version aktualisieren (CVE-2026-4020).
- 2Über das Plugin erreichbare Secrets rotieren: API-Schlüssel, SMTP-/Service-Tokens.
- 3WordPress- und Server-Logs auf unautorisierte Zugriffe und Konfig-Abfluss prüfen.
- 4Plugin-Bestand inventarisieren und Ungenutztes entfernen.
- 5Bei Hinweisen auf Zugriff angebundene Dienste auf Missbrauch der geleakten Tokens prüfen.
Relevante CVEs
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026