Auf den Punkt: CVE-2026-8732 ermöglicht via ungesichertem AJAX-Endpunkt die automatisierte Erstellung von Admin-Benutzern in betroffenen WordPress-Instanzen bis Version 6.1.0.
Das Premium-Plugin WP Maps Pro für WordPress weist eine kritische Schwachstelle auf, die es Angreifern erlaubt, ohne Authentifizierung Administrator-Konten zu erstellen. Wordfence dokumentierte innerhalb von 24 Stunden über 3.600 blockierte Angriffsversuche.
Das kostenpflichtige WordPress-Plugin WP Maps Pro des Herstellers Flippercode ist von einer kritischen Sicherheitslücke betroffen, die es Angreifern ermöglicht, ohne vorherige Authentifizierung neue Benutzerkonten mit vollen Administratorrechten anzulegen. Die Schwachstelle (CVE-2026-8732) betrifft alle Versionen bis einschließlich 6.1.0. Das Plugin wurde über den Envato-Marktplatz bereits über 15.800 Mal verkauft und kommt in zahlreichen Unternehmen, Immobilienportalen und Reiseanbietern zum Einsatz.
Der Sicherheitsdienstleister Defiant, Betreiber der Wordfence-Schutzsoftware, registrierte im Zeitraum von 24 Stunden mehr als 3.600 blockierte Ausnutzungsversuche. Dies deutet auf automatisierte, flächendeckende Angriffskampagnen hin. Die technische Ursache liegt in einer Support-Funktion, die es dem Hersteller-Personal Fernzugriff auf Kunden-Webseiten ermöglichen sollte. Der untersuchende Sicherheitsforscher David Brown identifizierte fundamentale Designmängel: Der dafür genutzte AJAX-Endpunkt ist öffentlich zugänglich, und die Authentifizierung basiert nur auf einem Nonce-Wert, der im Frontend-JavaScript exponiert ist und von Angreifern leicht ausgelesen werden kann.
Ein Angriffsvorgang verläuft vollautomatisch ab. Der Angreifer sendet eine präparierte HTTP-Anfrage mit dem Parameter check_temp=false an den ungesicherten Endpunkt. Das Backend des Plugins ruft daraufhin die WordPress-Funktion wp_insert_user() auf und erstellt ohne weitere Validierung einen neuen Benutzer mit der Rolle Administrator. Die E-Mail-Adresse wird fest auf support@flippercode.com gesetzt, der Benutzername wird zufällig generiert. Das System erzeugt anschließend einen magischen Login-Link über die Funktion generate_login_link(), speichert diesen als Metadaten und sendet ihn direkt im HTTP-Response an den Angreifer zurück. Das Aufrufen dieser URL führt zur automatischen Authentifizierung im WordPress-Dashboard mit Admin-Rechten, ohne Passwortabfrage.
Mit einem kompromittierten Administrator-Konto können Angreifer persistente Hintertüren in den Quellcode einschleusen, Benutzerdaten abgreifen, Malware verbreiten oder die betroffene Webseite für weitere Angriffe missbrauchen. Die vollständige Systemkompromittierung ist die Folge. Nutzer von WP Maps Pro sollten das Plugin deaktivieren, bis ein Sicherheits-Patch verfügbar ist, oder auf alternative Kartenlösungen ausweichen.
Quelle: www.it-daily.net · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.