SecBoard
HochCVE WatchScore: 10/100

Gravity SMTP (WordPress) CVE-2026-4020: Unauthentifizierte Info-Disclosure aktiv ausgenutzt

29. Juni 2026
Gravity SMTP (WordPress) CVE-2026-4020: Unauthentifizierte Info-Disclosure aktiv ausgenutzt

Kurzfazit

Angreifer nutzen aktiv eine kürzlich gepatchte Schwachstelle (CVE-2026-4020) im WordPress-Plugin Gravity SMTP aus, das auf rund 100.000 Sites installiert ist. Die unauthentifizierte Information-Disclosure-Lücke gibt API-Schlüssel, Secrets, Tokens und Serverinformationen preis — wertvolles Material für Folgeangriffe.

Was ist passiert?

Bedrohungsakteure nutzen laut Quellen aktiv eine kürzlich gepatchte Schwachstelle im WordPress-Plugin Gravity SMTP aus, die als CVE-2026-4020 geführt wird. Das Plugin ist auf rund 100.000 Sites installiert. Es handelt sich um eine unauthentifizierte Information-Disclosure-Lücke: verwundbare Plugin-Versionen geben API-Schlüssel, Secrets, Tokens, Serverinformationen und weitere Daten preis. Ein Patch steht bereits zur Verfügung.

Warum ist das relevant?

Ohne Authentifizierung abgreifbare Secrets sind ein Steigbügel für Folgeangriffe: geleakte API-Schlüssel und Tokens erlauben unter Umständen Zugriff auf E-Mail-Versand, angebundene Dienste oder weitere Systeme — weit über die betroffene WordPress-Site hinaus. Da die Lücke bereits aktiv ausgenutzt wird und Daten passiv abfließen, kann eine Kompromittierung unbemerkt bleiben.

Betroffene Branchen und Technologien

Betroffen sind Betreiber von WordPress-Sites mit dem Plugin Gravity SMTP. Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor; relevant ist jede Organisation mit einer entsprechenden, nicht aktualisierten Installation.

Priorisierungssignale

  • Aktive Ausnutzung in der Wildnis
  • Unauthentifiziert ausnutzbar
  • Preisgabe von Secrets/API-Keys/Tokens (Eskalationspotenzial)
  • Breite Verbreitung (~100.000 Sites)

Defensive Empfehlungen

  • Gravity SMTP umgehend auf die gepatchte Version aktualisieren (CVE-2026-4020).
  • Alle über das Plugin erreichbaren Secrets als kompromittiert behandeln: API-Schlüssel, SMTP-/Service-Tokens rotieren.
  • WordPress-Installation und Server-Logs auf unautorisierte Zugriffe und Abfluss von Konfigurationsdaten prüfen.
  • Plugin-Bestand inventarisieren und nicht benötigte Plugins entfernen.

Quellenhinweise

Grundlage sind übereinstimmende Berichte von SecurityWeek, The Hacker News und BleepingComputer.

Was Security-Teams jetzt prüfen sollten

  • 1Gravity SMTP umgehend auf die gepatchte Version aktualisieren (CVE-2026-4020).
  • 2Über das Plugin erreichbare Secrets rotieren: API-Schlüssel, SMTP-/Service-Tokens.
  • 3WordPress- und Server-Logs auf unautorisierte Zugriffe und Konfig-Abfluss prüfen.
  • 4Plugin-Bestand inventarisieren und Ungenutztes entfernen.
  • 5Bei Hinweisen auf Zugriff angebundene Dienste auf Missbrauch der geleakten Tokens prüfen.

Relevante CVEs

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#WordPress#Gravity SMTP#CVE-2026-4020#Information Disclosure#API Keys#aktive Ausnutzung