Die Sicherheitslücke wurde von Sicherheitsforscher David Brown entdeckt und betrifft alle WP Maps Pro-Versionen bis einschließlich 6.1.0. Sie basiert auf einer fehlerhaft implementierten “Temporary Access”-Funktion, die dem Support-Personal des Vendors ursprünglich zur Fehlerbehebung auf Kundenwebsites dienen sollte.
Das zentrale Problem: Der AJAX-Endpoint für diese Funktion ist für nicht authentifizierte Benutzer erreichbar. Statt auf sichere Mechanismen zu setzen, verließ sich die Entwicklung auf einen Nonce-Check, der im Frontend-JavaScript offengelegt wurde – ein klassischer Sicherheitsfehler. Dadurch können Angreifer manipulierte Anfragen senden.
Wenn der Parameter “check_temp” auf “false” gesetzt wird, passiert das Unheil: Das Plugin erstellt automatisch einen neuen WordPress-Benutzer mit Admin-Rechten, gibt ihm einen zufälligen Benutzernamen und der E-Mail-Adresse support@flippercode.com. Anschließend generiert es eine sogenannte “Magic Login URL”, mit der sich Angreifer ohne Passwort direkt als Administrator anmelden können.
Mit Admin-Zugriff ist der Weg zu weiteren Schäden geebnet: Angreifer können persistente Hintertüren einbauen, Inhalte manipulieren, Web Shells deployen, bösartige Plugins installieren oder die gesamte Website übernehmen. Für Websites, die personenbezogene Daten speichern, entsteht schnell eine Datenschutzverletzung mit allen rechtlichen Konsequenzen.
Sicherheitsforscher David Brown meldete die Lücke am 24. März an Wordfence. Nach Validierung des Exploits wurde der Vendor WP Maps Pro am 16. Mai informiert. Am 20. Mai folgte die Patch-Version 6.1.1 mit dem Fix.
Das BSI empfiehlt betroffenen Administratoren dringend, sofort auf Version 6.1.1 oder höher zu aktualisieren – zumal bereits Exploitierungsversuche in der Wildnis beobachtet wurden. Für deutsche Unternehmen gilt: Prüfen Sie Ihre Installationen und logs auf verdächtige Admin-Konten. Falls unbefugter Zugriff stattgefunden hat, ist eine Meldung an den BfDI erforderlich, um DSGVO-Bußgelder zu vermeiden.