Cybercriminelen maken misbruik van een kwetsbaarheid met medium ernst in de Gravity SMTP plugin voor WordPress om volledige systeemgegevens te stelen, waarschuwt beveiligingsbedrijf Defiant. Gravity SMTP is een plugin die e-mailverzending via meerdere SMTP-providers en API-diensten mogelijk maakt en beheerders in staat stelt e-mails direct vanaf hun website te versturen en te volgen.

Alle versies van de plugin vóór 2.1.5 bevatten een kwetsbaarheid (CVE-2026-4020, CVSS-score 5.3) die sinds begin mei actief wordt misbruikt. Het probleem zit in een REST API-endpoint dat zonder authenticatie altijd 'true' teruggeeft, waardoor het voor iedere onbevoegde gebruiker toegankelijk is. Door een specifieke parameter toe te voegen aan een query, retourneert het endpoint interne connectorgegevens in JSON-formaat. Deze data bevat een volledig systeemrapport met configuratiegegevens zoals PHP- en WordPress-versie, geladen extensies, webserverdetails, document root-pad, database-informatie, actieve plugins en thema’s, WordPress-configuratie en geconfigureerde API-sleutels en tokens.

Volgens Defiant bestaat de kwetsbaarheid doordat het REST API-endpoint, dat geregistreerd is binnen een gedeelde bibliotheek voor configuratiebeheer, geen authenticatie- of bevoegdheidscontroles uitvoert. Dit stelt onbevoegde aanvallers in staat om inloggegevens te verzamelen die gebruikt kunnen worden om namens de site e-mails te versturen en gedetailleerde informatie over de softwarestack te verkrijgen, wat kan leiden tot het identificeren en aanvallen van andere kwetsbaarheden. Defiant heeft sinds begin mei meerdere pogingen tot exploitatie in het wild waargenomen, waarbij aanvallers onbevoegde GET-verzoeken naar het kwetsbare endpoint sturen om het volledige systeemrapport op te halen.

In juni is een sterke toename van aanvallen op CVE-2026-4020 geregistreerd. Tot nu toe heeft Defiant meer dan 17 miljoen exploitpogingen geblokkeerd. Eigenaren en beheerders van WordPress-sites worden dringend geadviseerd om Gravity SMTP zo snel mogelijk te updaten naar versie 2.1.5 en de servertoegangslogs te controleren op verzoeken naar het kwetsbare endpoint, aangezien de exploitatie geen andere duidelijke sporen achterlaat. Indien er gebruik wordt gemaakt van externe e-mailintegraties zoals Amazon SES, Google, Mailjet, Resend of Zoho, wordt aangeraden om na de update alle API-sleutels, geheimen en OAuth-tokens te roteren, omdat deze mogelijk zijn blootgesteld. Meer informatie over de kwetsbaarheid en de exploitatie is te vinden in de analyse van Wordfence.