WordPress-Plugin Gravity SMTP: Schwachstelle ermöglicht Informationsklau – Experten raten zu sofortigem Update

Eine seit März bekannte, aber erst jetzt aktiv ausgenutzte Sicherheitslücke im WordPress-Plugin Gravity SMTP gefährdet mindestens 100.000 Websites. Die als CVE-2026-4020 eingestufte Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung sensible Daten auszulesen – darunter E-Mail-Zugangsdaten und detaillierte Systeminformationen. Das Unternehmen hinter dem Plugin hat bereits im März mit Version 2.1.5 einen Fix veröffentlicht, doch viele Administratoren haben das Update noch nicht eingespielt. Sicherheitsforscher von Defiant beobachten seit Anfang Juni einen deutlichen Anstieg der Angriffswelle: Allein am 7. Juni blockierte ihre Firewall mehr als vier Millionen verdächtige Anfragen. Betroffene sollten nicht nur das Plugin aktualisieren, sondern auch ihre Server-Logs nach verdächtigen Zugriffen durchsuchen und die genannten IP-Adressen sperren.

Warum die Gravity-SMTP-Lücke gefährlicher ist als ihr CVSS-Score vermuten lässt

Die Schwachstelle erhielt vom Hersteller eine Einstufung mit mittlerem Schweregrad (CVSS 5,3), doch die praktischen Auswirkungen sind deutlich schwerwiegender. Der Fehler liegt in einem unsachgemäß geschützten REST-API-Endpunkt, der in allen Versionen vor 2.1.5 enthalten ist. Jeder unauthentifizierte Nutzer kann über eine einfache GET-Anfrage einen vollständigen „System Report“ abrufen. Dieser Bericht enthält nicht nur die PHP- und WordPress-Version, installierte Plugins und Themes, sondern oft auch Live-Zugangsdaten für externe E-Mail-Dienste wie SendGrid, Mailgun oder SMTP2GO. Diese Kombination aus öffentlich zugänglichen Anmeldedaten und detaillierter Systemaufschlüsselung senkt die Hürde für weitere Angriffe drastisch.

Für Angreifer bedeutet das: Mit den gestohlenen SMTP-Zugängen können sie Spam-Kampagnen im Namen der betroffenen Domain versenden, Phishing-E-Mails verbreiten oder sogar Passwort-Reset-Links für Admin-Konten abfangen. Noch kritischer ist die Offenlegung der Software-Stacks. Sobald ein Angreifer weiß, welche Plugins und Versionen auf einem Server laufen, kann er gezielt nach bekannten Exploits suchen – etwa für veraltete Slider-Plugins oder Sicherheitslücken in Formular-Tools. Die Angreifer müssen nicht einmal selbst nach Schwachstellen suchen, wenn die Systemberichte bereits die verwundbaren Komponenten auflisten.

Aktive Ausnutzung: Millionen Anfragen pro Tag, gezielte IP-Adressen als Warnsignal

Seit Anfang Juni verzeichnen Sicherheitsforscher eine massive Zunahme der Angriffswelle. Allein am 7. Juni blockierte die Wordfence-Firewall über 17 Millionen verdächtige Anfragen – davon vier Millionen an einem einzigen Tag. Die Angriffe folgen einem klaren Muster: Die Angreifer versuchen, den unsicheren Endpunkt /wp-json/gravitysmtp/v1/tests/mock-data aufzurufen, oft kombiniert mit dem Query-Parameter ?page=gravitysmtp-settings. Dieser Pfad ist ein eindeutiger Indikator für einen Kompromattierungsversuch und sollte in den Server-Logs sofort auffallen.

Die Forscher veröffentlichten eine Liste der aktivsten Quell-IP-Adressen, die Administratoren in ihre Firewall-Regeln oder .htaccess-Dateien aufnehmen sollten. Zu den auffälligsten IPs zählen unter anderem 185.141.63.180, 193.106.191.188 und 103.162.14.119. Wer diese Adressen in den letzten Wochen in seinen Logs entdeckt, sollte umgehend prüfen, ob bereits Daten abgeflossen sind. Die Angreifer nutzen die exponierten Informationen nicht nur für sofortige Angriffe, sondern auch für spätere Credential-Stuffing-Versuche oder den Verkauf der gestohlenen Daten auf Untergrundmärkten.

Die technischen Details: Wie der Fehler funktioniert und warum er so einfach auszunutzen ist

Der Kern des Problems liegt in einer falsch konfigurierten permission_callback-Funktion im REST-API-Endpunkt des Plugins. Standardmäßig sollte jede API-Anfrage überprüfen, ob der Nutzer berechtigt ist, auf die Daten zuzugreifen. Im Fall von Gravity SMTP gibt diese Funktion jedoch immer true zurück – unabhängig davon, ob der Nutzer eingeloggt ist oder nicht. Dadurch wird der Endpunkt zu einer offenen Datenquelle, die ohne jede Authentifizierung ausgelesen werden kann.

Der zurückgegebene „System Report“ ist ein JSON-Dokument, das automatisch von Gravity SMTP generiert wird. Es enthält typischerweise:

• WordPress-Kernversion und Multisite-Status
• Liste aller aktiven Plugins mit Versionen
• Installierte Themes und deren Versionen
• PHP-Version und Server-Konfiguration
• Konfigurierte SMTP-Einstellungen, inklusive Benutzername und Passwort für externe E-Mail-Dienste
• Pfade zu hochgeladenen Dateien und temporären Verzeichnissen

Besonders problematisch ist, dass viele WordPress-Administratoren die SMTP-Zugangsdaten direkt im Plugin hinterlegen, statt sie über Umgebungsvariablen oder externe Secrets-Management-Tools zu verwalten. Dadurch landen die Anmeldedaten unverschlüsselt im System Report – und damit in den Händen von Angreifern. Selbst wenn die SMTP-Zugänge später geändert werden, können die abgegriffenen Daten noch für Wochen oder Monate missbraucht werden.

Praktische Schritte: So schützen Sie Ihre WordPress-Seite sofort

Der erste und wichtigste Schritt ist das sofortige Update auf Gravity SMTP Version 2.1.5 oder neuer. Das Plugin sollte entweder über das WordPress-Dashboard oder manuell per FTP aktualisiert werden. Nach dem Update muss sichergestellt werden, dass der unsichere REST-Endpunkt nicht mehr erreichbar ist. Dazu kann der Zugriff auf /wp-json/gravitysmtp/v1/tests/mock-data in der .htaccess-Datei oder über eine Sicherheits-Plugin wie Wordfence blockiert werden.

Als Nächstes sollten alle Server-Logs nach Zugriffen auf den betroffenen Endpunkt durchsucht werden. Ein typischer Indikator ist der Zugriffspfad /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings. Wer diesen Pfad in den letzten Wochen in seinen Logs findet, sollte davon ausgehen, dass die Seite bereits kompromittiert wurde. In diesem Fall empfiehlt es sich, alle SMTP-Zugangsdaten zu ändern, die Passwörter aller WordPress-Benutzer zurückzusetzen und eine vollständige Sicherheitsprüfung durchzuführen.

Administratoren sollten zudem die genannten IP-Adressen in ihre Firewall-Regeln aufnehmen und regelmäßig prüfen, ob neue verdächtige Zugriffe auftreten. Wer kein zentrales Log-Management-System nutzt, kann Tools wie Fail2Ban konfigurieren, um wiederholte Angriffsversuche automatisch zu blockieren. Zusätzlich lohnt es sich, die SMTP-Zugangsdaten nicht direkt im Plugin zu hinterlegen, sondern stattdessen auf externe Secrets-Management-Lösungen wie AWS Secrets Manager oder HashiCorp Vault auszuweichen.

Langfristige Risiken: Von Spam bis Identitätsdiebstahl

Die Folgen einer erfolgreichen Ausnutzung der Gravity-SMTP-Lücke reichen weit über einfache Spam-Kampagnen hinaus. Mit den gestohlenen SMTP-Zugängen können Angreifer nicht nur massenhaft E-Mails im Namen der betroffenen Domain versenden, sondern auch gezielte Phishing-Angriffe starten. Besonders gefährlich wird es, wenn die abgegriffenen Daten auch Zugang zu Admin-Konten oder anderen kritischen Systemen ermöglichen.

Ein weiteres Risiko ist der Identitätsdiebstahl: Wenn Angreifer über die gestohlenen SMTP-Zugänge Passwort-Reset-Links abfangen oder eigene Reset-Anfragen stellen, können sie die Kontrolle über die gesamte WordPress-Installation übernehmen. Selbst wenn die SMTP-Zugänge später gesperrt werden, bleibt die Gefahr bestehen, dass die Angreifer bereits Backdoors in Form von versteckten Admin-Benutzern oder manipulierten Plugin-Dateien platziert haben. Eine vollständige Überprüfung der Installation und aller Benutzerkonten ist daher unerlässlich.

Für Unternehmen kann ein solcher Vorfall zudem rechtliche und reputative Konsequenzen haben. Wenn über die kompromittierte E-Mail-Adresse vertrauliche Kundenkommunikation abgefangen oder manipuliert wird, drohen Abmahnungen oder Klagen wegen Datenpannen. Besonders betroffen sind Branchen mit hohen Compliance-Anforderungen wie Gesundheitswesen oder Finanzdienstleistungen. Selbst wenn keine sensiblen Daten direkt abgeflossen sind, kann allein die Tatsache, dass die E-Mail-Infrastruktur eines Unternehmens für Spam oder Phishing missbraucht wurde, das Vertrauen der Kunden zerstören.

Vergleich mit anderen WordPress-Sicherheitslücken: Warum Gravity SMTP kein Einzelfall ist

Die Gravity-SMTP-Lücke ist kein Einzelfall, sondern reiht sich in eine Serie von kritischen WordPress-Sicherheitsproblemen ein, die in den letzten Monaten aufgetreten sind. Erst kürzlich wurde eine kritische, authentifizierungsfreie Schwachstelle in Avada Builder entdeckt, die auf einer Million Websites aktiv ist. Auch hier ermöglicht ein unsachgemäß geschützter Endpunkt Angreifern, beliebige Dateien zu löschen – ein Angriffsszenario, das bei erfolgreicher Ausnutzung zu einem vollständigen Website-Crash führen kann.

Ein weiteres Beispiel ist die zunehmende Verbreitung von bösartigen Plugins im JetBrains Marketplace, die gezielt API-Schlüssel von Entwicklern stehlen. Diese Vorfälle zeigen, dass Angreifer zunehmend gezielt nach Schwachstellen in weit verbreiteten Plugins suchen, um möglichst viele Opfer mit möglichst wenig Aufwand zu kompromittieren. WordPress-Administratoren sollten daher nicht nur auf Updates achten, sondern auch regelmäßig Sicherheitsaudits durchführen und verdächtige Plugins aus ihrer Installation entfernen.

Ein zentrales Problem bleibt die mangelnde Sensibilisierung für Sicherheitsrisiken in der WordPress-Community. Viele Administratoren installieren Plugins ohne deren Herkunft oder Update-Historie zu prüfen, oder nutzen veraltete Versionen, weil sie keine Zeit für Updates haben. Dabei sind viele Sicherheitslücken vermeidbar – etwa durch die Verwendung von Plugins mit aktivem Support, regelmäßigen Backups und der Implementierung von Web Application Firewalls.

Was Entwickler und Hosting-Anbieter besser machen können

Für Entwickler von WordPress-Plugins bedeutet die Gravity-SMTP-Lücke eine deutliche Erinnerung daran, wie wichtig sichere API-Designs sind. REST-Endpunkte müssen immer eine angemessene Authentifizierung und Autorisierung implementieren, und sensible Daten sollten niemals unverschlüsselt in Logs oder Systemberichten landen. Tools wie OAuth2 oder JWT können hier Abhilfe schaffen, ebenso wie die Verwendung von Secrets-Management-Systemen statt hartkodierter Zugangsdaten.

Hosting-Anbieter können ebenfalls einen wichtigen Beitrag leisten, indem sie standardmäßig Sicherheitsfunktionen wie mod_security, Fail2Ban oder WAF-Regeln aktivieren. Viele Angriffe scheitern bereits an diesen grundlegenden Schutzmechanismen, bevor sie überhaupt die WordPress-Installation erreichen. Zudem sollten Hosting-Anbieter ihre Kunden proaktiv über kritische Sicherheitslücken informieren und Updates zeitnah bereitstellen.

Ein weiterer Ansatz ist die Implementierung von automatischen Sicherheitsprüfungen in WordPress-Plugins. Tools wie WPScan oder die Wordfence-API könnten Entwickler dabei unterstützen, bekannte Schwachstellen in ihren Plugins zu erkennen, bevor sie veröffentlicht werden. Auch die Einführung von Sandbox-Umgebungen für Plugin-Tests könnte helfen, unsichere Endpunkte frühzeitig zu identifizieren.

Fazit: Update jetzt, prüfen und vorsorgen

Die Sicherheitslücke in Gravity SMTP zeigt einmal mehr, wie schnell selbst vermeintlich harmlose Plugins zu Einfallstoren für Angreifer werden können. Die Kombination aus authentifizierungsfreiem Datenzugriff und der Offenlegung sensibler Informationen macht CVE-2026-4020 zu einem besonders gefährlichen Problem – trotz der mittleren CVSS-Einstufung. Betreiber von WordPress-Seiten sollten das Update auf Version 2.1.5 nicht auf die lange Bank schieben, sondern sofort umsetzen.

Danach gilt es, die Server-Logs nach Anzeichen für bereits erfolgte Angriffe zu durchsuchen und die genannten IP-Adressen zu blockieren. Wer unsicher ist, ob die Seite bereits kompromittiert wurde, sollte eine vollständige Sicherheitsprüfung durchführen, alle Zugangsdaten ändern und ein Backup der Website wiederherstellen. Langfristig lohnt es sich, die E-Mail-Zugangsdaten nicht direkt im Plugin zu hinterlegen und stattdessen auf externe Secrets-Management-Lösungen zu setzen.

Die Gravity-SMTP-Lücke ist ein Weckruf für die gesamte WordPress-Community. Sie erinnert daran, dass Sicherheit keine einmalige Aufgabe ist, sondern ein kontinuierlicher Prozess – von der Plugin-Auswahl über regelmäßige Updates bis hin zur Überwachung verdächtiger Aktivitäten. Wer diese Grundsätze beherzigt, kann das Risiko für zukünftige Angriffe deutlich reduzieren und seine Website nachhaltig schützen.