WP Maps Pro erlaubt Website-Betreibern, Google Maps in ihre WordPress-Installationen einzubetten und diese mit erweiterten Standortangaben, Markierungen und Kategorien anzupassen. Für Support-Fälle bringt das Plugin eine Funktion mit, die dem Hersteller einen temporären Zugang zu Kundenseiten zur Fehlersuche verschafft.

Genau an dieser Stelle liegt nach Angaben von Defiant das Problem. Die AJAX-Callback-Funktion, die das Erzeugen des temporären Zugangs steuert, ist allein durch eine Nonce-Prüfung abgesichert. Die dafür genutzte Nonce ist jedoch in jede Frontend-Seite eingebettet und damit für jeden nicht authentifizierten Nutzer sichtbar – die Prüfung läuft so ins Leere.

Hinzu kommt, dass das Plugin keine Berechtigungsprüfungen vornimmt. Dadurch können nicht authentifizierte Angreifer die AJAX-Aktion mit dem auf “false” gesetzten Parameter “check_temp” aufrufen und einen neuen WordPress-Nutzer mit der Rolle eines Administrators anlegen.

Der erzeugte Nutzer erhält einen zufälligen Benutzernamen und eine fest im Code hinterlegte E-Mail-Adresse. Zusätzlich generiert die Funktion eine sogenannte Magic-Login-URL und gibt sie an den Angreifer zurück. Über diese kann er sich ohne Passwort und ohne weitere Verifizierung anmelden.

“Im Ergebnis erlangt ein Angreifer die volle Kontrolle auf Administratorebene über die Seite und kann schädliche Plugins installieren, Themes verändern, Hintertüren einschleusen, Daten abziehen oder Web-Shells für dauerhaften Zugriff einrichten”, erklärt Defiant.

Behoben wurde die Schwachstelle in WP Maps Pro Version 6.1.1. Diese ergänzt eine Berechtigungsprüfung, die den Zugriff auf angemeldete Administratoren beschränkt. Defiant zufolge wurden allein in den vergangenen 24 Stunden mehr als 1.700 Angriffe auf CVE-2026-8732 abgewehrt.