Ett uppslitet brunt kuvert på ett mörkt skrivbord med ett knippe mässingsnycklar som spillt ut, en nyckel glider över bordskanten, som illustrerar läckta e-post-API-nycklar
Nyheter

Massattack mot Gravity SMTP: uppdatering räcker inte, rotera dina e-postnycklar

En sårbarhet i WordPress-pluginet Gravity SMTP utnyttjas just nu i stor skala, och säkerhetsforskare är eniga om en sak. Att bara uppdatera pluginet räcker inte. Angripare har under flera veckor skördat API-nycklar och OAuth-tokens från runt 100 000 sajter, och de nycklarna förblir giltiga även efter att hålet är patchat. Den som stannar vid en uppdatering lämnar dörren olåst.

Attacken pågår fortfarande, som mest 4 miljoner förfrågningar på ett dygn

Enligt säkerhetsföretaget Wordfence började utnyttjandet i liten skala i början av maj 2026, för att sedan skjuta i höjden kring den 6 juni. Sedan dess har Wordfence blockerat över 17 miljoner utnyttjandeförsök, med en topp på över 4 miljoner förfrågningar under ett enda dygn den 7 juni. Volymerna visar att det inte rör sig om enstaka nyfikna angripare, utan om automatiserad, bred skörd av data från alla sajter som går att nå.

Sårbarheten har fått beteckningen CVE-2026-4020 och en CVSS-poäng på 5,3, vilket formellt klassas som "medium". Den siffran ger en missvisande bild av allvaret. En medelhög CVSS-poäng brukar signalera begränsad påverkan, men här handlar det om produktionsnycklar till riktiga e-posttjänster som hamnar i främmande händer. Det är sannolikt en starkt bidragande orsak till att utnyttjandevolymen blivit så stor. Hålet är lätt att utnyttja, och belöningen, giltiga API-nycklar, är hög.

Så fungerar läckan: en öppen endpoint som inte kräver inloggning

Gravity SMTP är ett SMTP-plugin från teamet bakom Gravity Forms, installerat på uppskattningsvis 100 000 WordPress-sajter. Pluginet kopplar samman WordPress e-postutskick med tjänster som Amazon SES, Google, Mailjet och Zoho, och lagrar därför själva anslutningsuppgifterna till dessa tjänster.

Den tekniska bristen sitter i REST-endpointen /wp-json/gravitysmtp/v1/tests/mock-data. Den registrerades med en permission_callback som alltid returnerar true, vilket i praktiken betyder att vem som helst på internet kan anropa den utan att logga in. Lägger angriparen till URL-parametern ?page=gravitysmtp-settings svarar servern med omkring 365 kilobyte konfigurationsdata i JSON-format.

I den datan finns API-nycklar, hemligheter och OAuth-tokens för pluginets e-postintegrationer, till exempel Amazon SES, Google, Mailjet och Zoho. Där finns också PHP-, server- och databaskonfiguration, samt WordPress-version och en fullständig lista över aktiva plugin med versionsnummer.

Sårbarheten finns i alla versioner till och med 2.1.4 och är åtgärdad i 2.1.5 (senaste versionen är 2.2). Gravity Forms gick snabbt ut med en patch och skriver i sitt officiella blogginlägg att version 2.1.5 innehåller "viktiga säkerhetsförbättringar", med en tydlig rekommendation att uppdatera snarast. Rapporteringen kring Wordfence siffror finns bland annat hos The Hacker News.

Varför en patch inte räcker: nycklarna är redan ute

Gravity SMTP-läckan är allvarligare än ett vanligt sårbarhetslarm. En vanlig säkerhetslucka stängs när man patchar. Den här är en informationsläcka, och informationen som redan lämnat sajten upphör inte att fungera bara för att hålet stängs.

Om en angripare hämtat dina API-nycklar till Amazon SES eller Google innan du uppdaterade till 2.1.5, är de nycklarna fortsatt giltiga hos respektive tjänst. Uppdateringen stoppar nya läckor, men gör ingenting åt de nycklar som redan är i fel händer. Säkerhetsforskarna är därför tydliga med att åtgärden kräver tre steg. Uppdatera pluginet, rotera alla API-nycklar, hemligheter och OAuth-tokens som varit konfigurerade i det, och gå igenom serverloggarna för att se om något redan hänt.

Att bara uppdatera ett plugin efter en informationsläcka är som att byta lås efter att någon redan kopierat nyckeln. Det nya låset hjälper inte om kopian fortfarande finns kvar.

Konsekvensen för svenska sajtägare: ditt avsändarrykte står på spel

Stulna SMTP- och API-nycklar ger angripare möjlighet att skicka mejl via din e-posttjänst, ofta med din egen domän som avsändare. Det är ett allvarligare problem än det låter, för Gmail och Microsoft har på senare år skärpt sina krav på avsändare rejält. Vi har tidigare skrivit om hur Outlook nu kräver DMARC för att överhuvudtaget acceptera mejl från en domän, och samma logik gäller Gmail. Skickar någon spam eller nätfiske via din domän, straffas domänens rykte, och det påverkar leveransen av alla dina framtida mejl, inte bara de skadliga.

Ett skadat avsändarrykte tar sällan dagar att reparera. Det handlar oftare om veckor av gradvis återuppbyggt förtroende hos de stora mejlleverantörerna, under vilken tid din egen legitima e-post riskerar att hamna i mottagarnas skräppostmapp. För den som betalar per skickat mejl, vilket är vanligt hos Amazon SES, kan missbruket dessutom bli en direkt kostnad om angriparen skickar stora volymer på din räkning.

Läcker även listan över aktiva plugin med exakta versionsnummer får angriparen dessutom en färdig karta över sajten. Nästa steg blir att leta upp ett annat, ännu opatchat hål i något av just de pluginen, och rikta in sig direkt mot det. Grundbegreppen kring hur avsändaridentitet verifieras, SPF, DKIM och DMARC, går vi igenom i vår FAQ om e-postkonfiguration.

Det här behöver du göra om du kör Gravity SMTP

Har du Gravity SMTP installerat, är checklistan kort men samtliga punkter behövs. Att bara bocka av den första räcker inte.

  • Uppdatera till version 2.1.5 eller senare (senaste är 2.2).
  • Rotera samtliga API-nycklar, hemligheter och OAuth-tokens som varit konfigurerade i pluginet, direkt hos respektive tjänst (Amazon SES, Google, Mailjet, Zoho eller motsvarande).
  • Granska serverloggarna för anrop mot /wp-json/gravitysmtp/v1/tests/mock-data för att se om din sajt redan träffats.
  • Kontrollera din e-posttjänsts utskickshistorik för ovanliga volymer eller mottagare du inte känner igen.
  • Håll ett öga på domänens avsändarrykte de kommande veckorna.

Gravity SMTP är bara det senaste exemplet i en pågående våg av plugin-sårbarheter i WordPress-ekosystemet under juni 2026, något vi också gått igenom i vår genomgång av junivågens kritiska WordPress-hål. Men lärdomen sträcker sig längre än till just det här pluginet. Kör du något annat SMTP- eller e-postplugin bär det sannolikt på liknande hemligheter. Ett SMTP-plugin är i praktiken ett nyckelskåp till din e-postidentitet, och det förtjänar att behandlas som ett sådant, med samma uppmärksamhet på uppdateringar och samma vana att rotera nycklar den dag något går fel.