SchwachstellenHackerangriffeDatenschutz

Kritische Sicherheitslücke in WP Maps Pro: Hacker übernehmen WordPress-Seiten

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in WP Maps Pro: Hacker übernehmen WordPress-Seiten
Zusammenfassung

Eine kritische Sicherheitslücke in dem WordPress-Plugin WP Maps Pro gefährdet aktuell tausende Websites weltweit. Das beliebte Plugin, das es Administratoren ermöglicht, Google Maps in ihre Seiten einzubinden, weist eine schwerwiegende Authentifizierungslücke auf, die es unauthentifizierten Angreifern ermöglicht, neue Admin-Konten zu erstellen und vollständige Kontrolle über gefährdete Websites zu übernehmen. Die Sicherheitslücke mit der Bezeichnung CVE-2026-8732 (CVSS-Score 9,8) nutzt eine fehlerhafte Implementierung einer Temp-Access-Funktion des Herstellers. Dabei wird ein Nonce-Token ungeschützt auf jeder öffentlich zugänglichen Seite offengelegt, ohne dass echte Authentifizierungsprüfungen stattfinden. Allein in den letzten 24 Stunden wurden über 1.700 Angriffe registriert. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko, besonders für kleine und mittlere Betriebe, die WP Maps Pro verwenden. Angreifer könnten Malware-Plugins installieren, Datendiebstahl begehen oder Backdoors hinterlassen. Das Plugin wurde mittlerweile mit einer Sicherheitskorrektur auf Version 6.1.1 aktualisiert, doch eine sofortige Aktualisierung ist dringend erforderlich.

Die Schwachstelle entstand durch ein gravierendes Design-Versäumnis in der Plugin-Architektur. WP Maps Pro bietet Administratoren eine Funktion zur Fernunterstützung an – das Plugin verfügt über eine temporäre Zugriffsmöglichkeit, die Entwickler für Debugging- und Troubleshooting-Arbeiten nutzen können. Dieses Feature sollte dem Vendor ermöglichen, sich zur Kundenbetreuung auf Kundenwebsites einzuloggen.

Das Kernproblem liegt in der Sicherheitsimplementierung dieser Funktion. Eine AJAX-Callback-Funktion, die für die Generierung des temporären Zugriffs verantwortlich ist, ist nur durch einen Nonce geschützt – ein einmalig gültiger Sicherheits-Token. Dieser Nonce wird jedoch auf jeder Frontend-Seite eingebettet und ist damit für jeden unauthentifizierten Benutzer sichtbar und auswertbar. Schlimmer noch: Das Plugin führt keine Capability-Checks durch, also keine Überprüfung der Benutzerberechtigungen.

Dies führt zu einer verheerenden Sicherheitskette: Ein Angreifer kann die AJAX-Action mit dem Parameter “check_temp” auf “false” setzen und damit einen neuen WordPress-Benutzer mit Administrator-Rolle erstellen. Das System generiert einen zufälligen Benutzernamen, verwendet eine hardcodierte E-Mail-Adresse und erzeugt anschließend eine Magic-Login-URL – einen speziellen Link, der eine Authentifizierung ohne Passwort oder weitere Verifizierungsschritte ermöglicht.

Mit diesem Zugang haben Angreifer vollständige Administrator-Kontrolle. Sie können beliebige Plugins installieren, Theme-Dateien modifizieren, Backdoors einbauen, Daten exfiltrieren oder Web-Shells für persistente Zugriffe deployen. Für deutsche Unternehmen bedeutet dies eine potenzielle Verletzung der DSGVO mit Meldepflichten an Datenschutzbehörden und Bußgelder bis zu 4 Prozent des Jahresumsatzes.

Die Entwickler haben in Version 6.1.1 reagiert und einen Capability-Check hinzugefügt, der den Zugriff nun auf authentifizierte Administratoren beschränkt. Alle Betreiber von WordPress-Seiten mit WP Maps Pro sollten sofort updaten. Defiant empfiehlt zudem, Zugriffsprotokollen zu überprüfen und verdächtige Administrator-Accounts zu löschen.

Ähnliche Artikel