Gravity-SMTP-Plugin: 17 Millionen Angriffe auf WordPress-Sites
20.06.2026 - 23:28:36 | boerse-global.de
Eine schwerwiegende Schwachstelle im beliebten Gravity-SMTP-Plugin für WordPress setzt zehntausende Websites dem Risiko von Datenlecks und Identitätsdiebstahl aus. Angreifer können ohne Authentifizierung sensible Konfigurationsdaten und API-Schlüssel abgreifen.
Die als CVE-2026-4020 registrierte Sicherheitslücke mit einem CVSS-Score von 5,3 befindet sich in einer ungeschützten REST-API-Schnittstelle. Konkret genügt ein Aufruf des Endpunkts /wp-json/gravitysmtp/v1/tests/mock-data mit bestimmten Parametern, um einen umfassenden Systembericht im JSON-Format abzurufen. Die rund 365 Kilobyte große Datei enthält brisante Informationen: PHP-Versionen, Datenbankkonfigurationen und vor allem live gültige API-Schlüssel für verschiedene E-Mail-Dienste.
Gestohlene Zugangsdaten ermöglichen Angriffswellen
Anzeige: Die aktuelle Angriffswelle auf das Gravity-SMTP-Plugin betrifft zehntausende WordPress-Seiten – mit über 17 Millionen Exploit-Versuchen seit Mai. Ein reines Update reicht nicht: Alle Zugangsdaten gelten als kompromittiert. Dieser Leitfaden zeigt Ihnen, wie Sie einen Befall erkennen, das Plugin korrekt aktualisieren und Ihre API-Schlüssel umgehend zurücksetzen. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Besonders brisant: Die offengelegten Daten umfassen OAuth-Tokens und API-Keys für große Anbieter wie Amazon SES, Google, Mailjet, Resend und Zoho. Mit diesen gestohlenen Zugangsdaten können Angreifer E-Mails im Namen der kompromittierten Domains versenden. Die Gefahr reicht von Phishing-Kampagnen über Spam-Versand bis hin zu gezielten Business-E-Mail-Compromise-Angriffen, bei denen sich Kriminelle als Geschäftsführer oder Mitarbeiter ausgeben.
Die vollständigen Systemberichte geben zudem detaillierte Einblicke in die zugrundeliegende Infrastruktur der betroffenen WordPress-Installationen. Für Angreifer ist das eine wahre Fundgrube für Folgeangriffe – sie erhalten eine Art Bauplan für tiefere Eindringversuche in die Hosting-Umgebung.
Massenhafte Angriffe seit Ende Mai
Obwohl der Plugin-Hersteller bereits am 17. März 2026 ein Sicherheitsupdate (Version 2.1.5) veröffentlichte, haben zahlreiche Betreiber die Korrektur noch nicht eingespielt. Das Sicherheitsunternehmen CrowdSec entdeckte die ersten aktiven Ausnutzungsversuche am 27. Mai 2026. Seit Anfang Mai blockierte die Sicherheitsfirma Wordfence eigenen Angaben zufolge mehr als 17 Millionen Exploit-Versuche, die genau diese Schwachstelle ausnutzen.
Eine dramatische Eskalation der Angriffe ereignete sich in der ersten Juniwoche. Am 6. und 7. Juni verzeichneten die Sicherheitsexperten einen massiven Anstieg der Anfragen – mit Spitzenwerten von über vier Millionen Zugriffen an einem einzigen Tag. Mehrere IP-Adressen wurden als Täter identifiziert, darunter 45.148.10.95, 193.32.162.60 und 176.65.148.139.
Update allein reicht nicht – alle Zugangsdaten müssen erneuert werden
Sicherheitsexperten schlagen Alarm: Ein reines Update des Plugins genügt nicht, um die betroffenen Websites zu sichern. Da die API-Schlüssel und SMTP-Zugangsdaten im Klartext abgegriffen wurden, gelten sie als kompromittiert. Administratoren müssen umgehend auf Gravity SMTP Version 2.1.5 oder höher aktualisieren und sämtliche mit dem Plugin verbundenen Zugangsdaten zurücksetzen.
Anzeige: Hacker stehlen über eine ungeschützte REST-API live gültige API-Schlüssel für Amazon SES, Google und Mailjet – und nutzen sie für Phishing und Spam. Wenn Sie Gravity SMTP einsetzen, sind Ihre Zugangsdaten möglicherweise bereits kompromittiert. Erfahren Sie in diesem Report, welche Sofortmaßnahmen Sie ergreifen müssen und wie Sie Ihre WordPress-Site dauerhaft schützen. Sofortmaßnahmen-Report jetzt sichern
Die aktuelle Angriffswelle ist Teil eines besorgniserregenden Trends. Erst in den vergangenen Tagen haben Strafverfolgungsbehörden in Nordamerika und Europa die Zerschlagung des SocGholish-Botnetzes bekanntgegeben, das fast 15.000 WordPress-Seiten infiziert hatte. Parallel dazu entdeckten Forscher eine separate Sicherheitslücke im Avada-Builder-Plugin (CVE-2026-8713), die rund eine Million Websites betrifft. Zwar gibt es für diesen Fehler bis Mitte Juni keine Hinweise auf aktive Ausnutzung – die Häufung der Vorfälle zeigt jedoch, wie verwundbar WordPress-Seiten ohne regelmäßige Updates sind.
So erkennen Betreiber einen Befall
Administratoren sollten ihre Server-Logs gezielt nach unautorisierten Zugriffen auf den Mock-Data-Endpunkt durchsuchen, insbesondere solchen mit dem Parameter gravitysmtp-settings. Als zusätzliche Schutzmaßnahmen empfehlen Sicherheitsexperten den Einsatz einer Web Application Firewall (WAF) und die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) für alle Administratoren-Zugänge.
