Eine kritische Sicherheitslücke im WordPress-Plugin WP Maps Pro wird derzeit aktiv von Angreifern ausgenutzt. Betroffen sind Installationen von WP Maps Pro 6.1.0 und älter. Die Schwachstelle wurde mit WP Maps Pro 6.1.1 behoben.
Betroffene Versionen: WP Maps Pro 6.1.0 und älter
Behobene Version: WP Maps Pro 6.1.1
CVE: CVE-2026-8732
Risiko: Erstellung von Administrator-Konten ohne Anmeldung
Administrator-Zugriff ohne Login möglich
Die Schwachstelle mit der Kennung CVE-2026-8732 erlaubt es Angreifern, ohne gültige Zugangsdaten ein neues Administrator-Konto auf einer WordPress-Website anzulegen. Auslöser ist eine fehlerhafte AJAX-Schnittstelle in einer temporären Support-Funktion des Plugins.
Diese Funktion sollte eigentlich Support-Mitarbeitern einen zeitlich begrenzten Zugriff auf Kundenseiten ermöglichen. In den betroffenen Versionen war die Schnittstelle jedoch für nicht angemeldete Nutzer erreichbar. Die Schutzprüfung über einen öffentlich sichtbaren Nonce reichte dafür nicht aus.
Magic-Login-Link macht die Lücke besonders gefährlich
Nach der Ausnutzung kann das Plugin automatisch einen neuen WordPress-Benutzer mit Administratorrechten erstellen. Zusätzlich wird ein sogenannter Magic-Login-Link erzeugt. Über diesen Link kann sich der Angreifer direkt anmelden, ohne ein Passwort eingeben zu müssen.
Damit kann eine verwundbare WordPress-Website innerhalb kurzer Zeit vollständig übernommen werden. Administratorrechte reichen aus, um Inhalte zu verändern, neue Plugins zu installieren, Schadcode einzuschleusen oder dauerhafte Hintertüren einzurichten.
Tausende Angriffsversuche bereits beobachtet
Die Sicherheitsfirma Wordfence berichtet von mehr als 3.600 blockierten Exploit-Versuchen innerhalb von 24 Stunden. Das zeigt, dass CVE-2026-8732 nicht nur theoretisch relevant ist, sondern bereits aktiv in Angriffskampagnen genutzt wird.
WP Maps Pro wird vor allem von Unternehmen, Immobilienseiten, Reiseportalen, Verzeichnissen und Organisationen eingesetzt, die mehrere Standorte auf interaktiven Karten darstellen. Nach Angaben zum Plugin wurde es mehr als 15.000 Mal verkauft.
Update auf WP Maps Pro 6.1.1 dringend empfohlen
Der Hersteller hat die Sicherheitslücke mit WP Maps Pro 6.1.1 geschlossen. Betreiber sollten daher prüfen, ob sie noch WP Maps Pro 6.1.0 oder eine ältere Version verwenden, und das Plugin umgehend aktualisieren.
Zusätzlich sollten WordPress-Administratoren kontrollieren, ob unbekannte Benutzerkonten mit Administratorrechten angelegt wurden. Auch verdächtige Plugins, neue Dateien im Upload- oder Plugin-Verzeichnis und ungewöhnliche Weiterleitungen sollten überprüft werden.
Warum diese Lücke so kritisch ist
Besonders gefährlich ist die Kombination aus fehlender Authentifizierung und direkter Rechtevergabe. Angreifer müssen kein bestehendes Benutzerkonto kompromittieren, sondern können sich über die Schwachstelle selbst einen Zugang mit höchsten Rechten verschaffen.
Solche WordPress-Lücken werden häufig automatisiert ausgenutzt. Sobald Scanner eine verwundbare Installation finden, kann die Übernahme der Website innerhalb weniger Sekunden erfolgen.
Einordnung
Der Fall zeigt erneut, wie riskant schlecht abgesicherte Support- und Fernwartungsfunktionen in WordPress-Plugins sein können. Eine eigentlich hilfreiche Funktion wird zur vollständigen Übernahme der Website, wenn sie ohne ausreichende Zugangskontrolle erreichbar ist.
Für Betreiber gilt daher: Nicht nur WordPress selbst, sondern auch Premium-Plugins müssen regelmäßig geprüft und aktualisiert werden. Bei WP Maps Pro ist das Update auf Version 6.1.1 aktuell die wichtigste Maßnahme.
📂
Kategorie
News
Aktuelle Meldungen aus der Tech-Welt – kompakt eingeordnet, ohne Clickbait-Überschriften.
