Die Schwachstelle steckt in einer Funktion für „temporären Zugriff", die eigentlich dem Support-Personal des Anbieters erlauben sollte, zur Fehlersuche auf Kundenseiten zuzugreifen. David Brown stellte fest, dass der für diese Funktion genutzte AJAX-Endpunkt auch für nicht authentifizierte Nutzer erreichbar war und sich allein auf eine im Frontend-JavaScript öffentlich einsehbare Nonce-Prüfung stützte – ein wirkungsloser Schutz.

Dadurch lässt sich eine speziell präparierte Anfrage senden, die einen neuen WordPress-Benutzer erzeugt, ihm die Administratorrolle zuweist, eine passwortlose Anmelde-URL generiert und diese an ein entferntes System übermittelt. Ruft der Angreifer diese URL auf, wird er automatisch im neu erstellten Administratorkonto angemeldet – ohne Passwort oder weitere Prüfung.

Die Forscher von Defiant beschreiben den Ablauf im Detail: „Wird die Anfrage mit dem Parameter check_temp auf den Wert ‚false’ gestellt, erstellt die Funktion über wp_insert_user() einen neuen WordPress-Benutzer mit der fest eingetragenen Rolle Administrator, einem zufällig erzeugten Benutzernamen und der fest hinterlegten E-Mail-Adresse support@flippercode.com." Anschließend erzeuge die Funktion über generate_login_link() eine „magische Anmelde-URL", speichere sie als Benutzer-Metadaten und gebe sie im Antworttext zurück.

Mit Administratorrechten können Angreifer dauerhafte Hintertüren einschleusen, Inhalte verändern, auf private Daten zugreifen, Web-Shells aufspielen, bösartige Plugins installieren und die Website vollständig übernehmen.

Brown meldete die Lücke nach Angaben des Berichts am 24. März an Wordfence; der Hersteller wurde am 16. Mai informiert, nachdem der Exploit validiert worden war. Am 20. Mai erschien WP Maps Pro 6.1.1 mit einem Fix für CVE-2026-8732. Betreibern wird geraten, das Plugin so schnell wie möglich zu aktualisieren, da bereits bösartige Aktivitäten beobachtet wurden.