SchwachstellenHackerangriffeDatenschutz

Kritische Sicherheitslücke in WordPress-Plugin WP Maps Pro aktiv ausgenutzt

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in WordPress-Plugin WP Maps Pro aktiv ausgenutzt
Zusammenfassung

Ein kritisches Sicherheitsloch im WordPress-Plugin WP Maps Pro wird derzeit aktiv ausgenutzt, um Admin-Konten auf betroffenen Websites zu erstellen. Das Plugin, das über 15.000 Mal auf Envato Market verkauft wurde, dient der Integration von benutzerdefinierten Google Maps und OpenStreetMap-Funktionen in WordPress-Seiten. Die Sicherheitslücke CVE-2026-8732 mit einem CVSS-Score von 9,8 betrifft alle Versionen bis einschließlich 6.1.0 und ermöglicht es unauthentifizierten Angreifern, Administrator-Benutzerkonten zu erstellen und damit vollständige Kontrolle über betroffene Websites zu übernehmen. Das Problem liegt in einer fehlerhaft geschützten "Temporary Access"-Funktion für den technischen Support, deren Nonce-Check öffentlich im Frontend eingebettet ist und daher keinen wirksamen Zugangsschutz bietet. Der Patch wurde am 20. Mai 2026 veröffentlicht, doch Wordfence verzeichnete bereits über 2.858 Angriffsversuche innerhalb von 24 Stunden. Für deutsche Nutzer und Unternehmen, die WP Maps Pro einsetzen – etwa als Store Locator – besteht hohes Risiko für Datenverlust und Reputationsschäden. Eine sofortige Aktualisierung auf Version 6.1.1 ist unerlässlich, um Kompromittierung zu vermeiden.

Das WordPress-Plugin WP Maps Pro dient Webseitenbetreibern dazu, anpassbare Google Maps und OpenStreetMap-Karten mit Markierungen, Listings und erweiterten Standortfunktionen einzubinden. Besonders bei Online-Shops wird die Funktion als Store-Locator genutzt, um Kunden das Auffinden von Filialen zu erleichtern. Mit über 15.000 verkauften Lizenzen hat das Plugin eine erhebliche Verbreitung – auch im deutschsprachigen Raum dürfte eine nennenswerte Anzahl von Websites betroffen sein.

Die Schwachstelle wurzelt in einem fehlerhaft implementierten “Temporary Access”-Feature, das dem Support-Personal ermöglichen soll, sich bei Kundenseiten zu Troubleshooting-Zwecken anzumelden. Das Problem: Die AJAX-Action “wpgmp_temp_access_ajax” ist mit “wp_ajax_nopriv_” registriert – das heißt, sie ist auch für nicht angemeldete Nutzer aufrufbar. Als einziger Schutzmechanismus dient ein Nonce-Check mit dem “fc-call-nonce”-Token, der jedoch öffentlich via “wp_localize_script” auf jeder Frontend-Seite eingebunden ist. Dies macht die Sicherheitsüberprüfung wirkungslos.

Angreifer können die Funktion “wpgmp_temp_access_support()” mit dem Parameter “check_temp=false” aufrufen und erzeugen dadurch automatisch einen neuen WordPress-Benutzer mit Administrator-Rechten. Das System stellt zudem eine “Magic Login”-URL bereit, die den Angreifer vollständig authentifiziert. Das Resultat: vollständige Übernahme der Website.

Die Entwickler haben das Leck am 20. Mai 2026 durch Version 6.1.1 gepatcht, indem der Endpunkt nun nur noch für authentifizierte Administratoren erreichbar ist. Dennoch zeigen die Zahlen von Wordfence die dringende Notwendigkeit schnellen Handelns: 2.858 dokumentierte Angriffe in 24 Stunden bedeuten, dass Cyberkriminelle massiv und automatisiert versuchen, anfällige Systeme zu kompromittieren.

Deutsche Betreiber betroffener Websites sollten sofort prüfen, ob sie WP Maps Pro in einer anfälligen Version nutzen und ein Update durchführen. Gleichzeitig empfiehlt sich eine Kontrolle der Administrator-Konten auf verdächtige neue Benutzer. Im Falle einer Kompromittierung besteht eine Meldepflicht nach DSGVO innerhalb von 72 Stunden.

Ähnliche Artikel