Die kritische Schwachstelle CVE-2026-8732 (CVSS 9.8) im WordPress-Plugin WP Maps Pro wird aktiv von Angreifern ausgenutzt, um auf verwundbaren Websites Konten mit Administratorrechten anzulegen. Das Plugin, das für die Einbettung interaktiver Google-Maps- und OpenStreetMap-Karten entwickelt wurde, wurde über Envato Market mehr als 15.000‑mal verkauft. Die Schwachstelle betrifft alle Versionen bis einschließlich 6.1.0 und wurde in Version 6.1.1 behoben. Nach Angaben von Wordfence wurden in den letzten 24 Stunden 2.858 Angriffe blockiert, die auf diese Schwachstelle abzielen – Betreiber von Websites, auf denen dieses Plugin eingesetzt wird, müssen umgehend aktualisieren.
Technischer Kern der Schwachstelle
Der Kern des Problems ist die Funktion für „temporären Zugriff“, die es Support-Mitarbeitern ermöglichen soll, sich während der Fehlerbehebung auf der Website eines Kunden anzumelden. Wie die Forscher von Wordfence berichten, weist die Implementierung dieser Funktion einen kritischen Architekturfehler auf: Der AJAX-Handler wpgmp_temp_access_ajax ist mit dem Hook wp_ajax_nopriv_ registriert, wodurch er auch für nicht authentifizierte Benutzer zugänglich ist.
Der einzige Schutzmechanismus ist die Prüfung des nonce-Tokens fc-call-nonce; dieses Token wird jedoch über wp_localize_script als Feld des Objekts wpgmp_local in jede Frontend-Seite öffentlich eingebettet. Damit erfüllt die nonce-Prüfung keine Zugriffskontrolle – jeder Besucher der Website kann das Token aus dem Quellcode der Seite auslesen.
Die Ausnutzungskette gestaltet sich wie folgt:
- Der Angreifer entnimmt das nonce-Token aus dem öffentlichen JavaScript-Objekt auf einer beliebigen Seite der Website
- Er sendet eine AJAX-Anfrage an den Handler
wpgmp_temp_access_supportmit dem Parametercheck_temp=false - Die Funktion legt bedingungslos einen neuen WordPress-Benutzer mit der fest verdrahteten Rolle Administrator über
wp_insert_user()an - Der Server gibt einen „magischen“ Login-Link zurück; beim Aufruf dieses Links wird
wp_set_auth_cookie()ausgeführt, wodurch der Angreifer vollständig als Administrator authentifiziert wird
Das Ergebnis ist die vollständige Übernahme der Website, ohne dass irgendwelche Zugangsdaten bekannt sein müssen. Die CVSS-Bewertung von 9,8 spiegelt die Kritikalität wider: Remote-Angriffsvektor, keine Anforderungen an die Authentifizierung, geringe Ausnutzungskomplexität.
Ausmaß der Bedrohung und aktive Ausnutzung
Nach Telemetriedaten von Wordfence wird die Schwachstelle bereits aktiv ausgenutzt. Innerhalb von 24 Stunden hat das Unternehmen 2.858 Angriffe erfasst und blockiert, die auf diese Schwachstelle abzielten. Zu beachten ist, dass diese Zahlen nur den Traffic widerspiegeln, der über die Infrastruktur von Wordfence läuft – die tatsächliche Zahl der Ausnutzungsversuche dürfte deutlich höher liegen.
WP Maps Pro ist ein kommerzielles Plugin, das über Envato Market (CodeCanyon) vertrieben wird und nicht über das offizielle Repository auf WordPress.org. Dies schafft einen zusätzlichen Risikofaktor: Kommerzielle Plugins von Envato unterstützen in der Regel keine automatischen Updates über den Standardmechanismus von WordPress, was bedeutet, dass viele Website-Betreiber nichts von der Verfügbarkeit eines Patches erfahren und keine Update-Benachrichtigung erhalten.
Das Plugin wird vorwiegend als Store-Locator und zur Suche nach Servicestellen eingesetzt und ist damit typisch für Websites von Einzelhandelsketten, Dienstleistungsunternehmen und Organisationen mit physischen Standorten.
Bewertung der Auswirkungen
Eine erfolgreiche Ausnutzung von CVE-2026-8732 verschafft dem Angreifer vollständige Administratorrechte auf der WordPress-Website. Dies eröffnet Möglichkeiten für:
- das Einschleusen von Schadcode und Weiterleitungen auf Phishing-Seiten
- den Diebstahl von Daten aus der WordPress-Datenbank, einschließlich personenbezogener Daten von Nutzern und Kunden
- die Nutzung der kompromittierten Website als Ausgangspunkt für weiterführende Angriffe
- das Ablegen von Web-Shells, um auch nach einem Plugin-Update einen dauerhaften Zugriff zu behalten
- die vollständige Löschung oder Manipulation der Website-Inhalte
Besonders gefährlich ist, dass der Ausnutzungsmechanismus trivial ist und keine speziellen Werkzeuge erfordert – ein gewöhnlicher HTTP-Request mit dem auf jeder Seite verfügbaren nonce-Token genügt.
Empfehlungen zur Reaktion
Sofortiges Update: Installieren Sie WP Maps Pro in Version 6.1.1 oder höher. Der am 20. Mai 2026 veröffentlichte Patch beschränkt den Zugriff auf den verwundbaren Endpunkt auf authentifizierte Administratoren.
Prüfung auf Kompromittierung: Wenn das Update nicht zeitnah eingespielt wurde, sollten Sie die Liste der WordPress-Benutzer auf unbekannte Konten mit der Rolle Administrator überprüfen. Besonderes Augenmerk ist auf Konten zu legen, die nach der öffentlichen Bekanntmachung der Schwachstelle angelegt wurden.
Zusätzliche Maßnahmen für bereits kompromittierte Websites:
- Löschen Sie alle unbekannten Administratorkonten
- Überprüfen Sie das Dateisystem auf Web-Shells und veränderte Core-Dateien von WordPress
- Ändern Sie die Passwörter aller bestehenden Administratoren und erneuern Sie die geheimen Schlüssel in
wp-config.php - Überprüfen Sie geplante Aufgaben (WP-Cron) sowie unbekannte Plugins, die vom Angreifer installiert worden sein könnten
- Ziehen Sie eine Wiederherstellung aus einem Backup in Betracht, das vor Beginn der Ausnutzung erstellt wurde
Angesichts der aktiven Ausnutzung und des kritischen CVSS-Werts von 9,8 muss das Update von WP Maps Pro auf Version 6.1.1 mit höchster Priorität erfolgen – im Zeitraum von Stunden, nicht Tagen. Betreiber von Websites, die das Plugin über Envato Market erworben haben, müssen die aktualisierte Version manuell herunterladen und installieren, da die automatische Bereitstellung von Updates für derartige Plugins in der Regel nicht vorgesehen ist. Ist ein sofortiges Update nicht möglich, kann als Übergangsmaßnahme die Deaktivierung des Plugins bis zur Installation des Patches dienen.
