Thought Leadership
Eine kritische Schwachstelle im WordPress-Plugin WP Maps Pro erlaubt Angreifern das unauthentifizierte Erstellen von Konten mit vollen Rechten.
IT-Sicherheitsanalysten verzeichnen eine Angriffswelle auf Content-Management-Systeme, die auf dem populären WordPress-Framework basieren. Im Zentrum der Angriffe steht das kostenpflichtige Premium-Plugin WP Maps Pro, das von Unternehmen zur Erstellung interaktiver Karten und Filialfinder genutzt wird. Die Schwachstelle wird unter der Kennung CVE-2026-8732 geführt und hat aufgrund ihres immensen Gefahrenpotenzials eine kritische Risikobewertung erhalten. Betroffen sind alle Versionen des Plugins bis einschließlich der Version 6.1.0.
Das Ausmaß der Bedrohung wird durch die Verkaufszahlen verdeutlicht, da das Plugin allein auf dem Envato-Marktplatz über 15.800 Mal vertrieben wurde und auf zahlreichen Webseiten von Unternehmen, Immobilienportalen und Reiseanbietern im Einsatz ist. Der Sicherheitsdienstleister Defiant, welcher die Wordfence-Schutzsoftware betreibt, dokumentierte innerhalb von nur 24 Stunden mehr als 3.600 blockierte Ausnutzungsversuche, was auf eine automatisierte und flächendeckende Kampagne durch cyberkriminelle Netzwerke hinweist.
Fehlerhafte Support-Funktion in WordPress
Die Ursache für das kritische Sicherheitsdefizit liegt in einer integrierten Funktion für den sogenannten temporären Zugriff. Diese Funktion wurde von den Entwicklern ursprünglich implementiert, um dem Support-Personal des Herstellers Flippercode bei der Fehlerbehebung auf Kunden-Webseiten einen unkomplizierten Zugang zu ermöglichen. Der Sicherheitsforscher David Brown entdeckte jedoch bei einer Überprüfung des Quellcodes, dass dieser administrative Zugangsweg grundlegende Designmängel aufweist.
Der für diese Funktion genutzte AJAX-Endpunkt war für unauthentifizierte Benutzer aus dem öffentlichen Internet frei zugänglich. Die Absicherung dieses sensiblen Endpunkts basierte ausschließlich auf einer Überprüfung eines kryptografischen Schlüssels, eines sogenannten Nonce, der jedoch im Frontend-JavaScript der Webseite offen exponiert war. Da externe Angreifer diesen Wert somit problemlos auslesen konnten, erwies sich der gesamte Schutzmechanismus als vollständig wirkungslos gegen gezielte Manipulationsversuche.
Ablauf der Benutzererstellung und Generierung von Login-Links
Der Ablauf eines erfolgreichen Angriffs erfolgt vollautomatisch über eine präparierte HTTP-Anfrage. Wenn die Angreifer eine Anfrage an den ungesicherten AJAX-Endpunkt senden und dabei einen spezifischen Parameter namens check_temp auf den Wert false setzen, löst das Backend-Skript des Plugins eine interne WordPress-Funktion aus. Über den Befehl wp_insert_user() wird ohne weitere Validierung oder Passworteingabe ein komplett neuer Benutzer in der Datenbank der Webseite angelegt. Diesem neuen Konto wird automatisch die Rolle des Administrators zugewiesen.
Der Benutzername wird hierbei zufällig generiert, während als E-Mail-Adresse der hartcodierte Wert [email protected] in den Profildaten hinterlegt wird. Im direkten Anschluss generiert das System über die Funktion generate_login_link() einen sogenannten magischen Login-Link. Diese URL, die als Metadatum des neu erstellten Benutzers gespeichert wird, wird im Antwort-Body der HTTP-Anfrage direkt an den Server des Angreifers zurückübermittelt. Sobald der Täter diese spezifische Webadresse aufruft, erfolgt eine automatische Authentifizierung am WordPress-Dashboard mit den vollen Rechten eines Administrators, ohne dass jemals ein Passwort eingegeben werden muss.
Gefahrenpotenzial für betroffene Webseiten und Patch-Verfügbarkeit
Die Erlangung von administrativen Rechten bedeutet für die betroffenen Webseitenbetreiber in der Praxis eine vollständige Kompromittierung des Systems. Mit einem gefälschten Administrator-Konto sind die Angreifer in der Lage, persistente Hintertüren im Quellcode zu verankern, um den Zugriff auch nach einer späteren Löschung des Kontos aufrechtzuerhalten. Sie können den Inhalt der Webseite manipulieren, vertrauliche Kundendaten auslesen, bösartige Skripte zur Kreditkarten-Ausspähung implementieren oder schadhafte Plugins installieren.
Der zeitliche Ablauf der Entdeckung zeigt, dass der Forscher David Brown den Fehler bereits am 24. März 2026 an das Wordfence-Team meldete. Nach der Validierung des Exploits wurde der Software-Hersteller am 16. Mai 2026 offiziell in Kenntnis gesetzt. Am 20. Mai 2026 veröffentlichte der Entwickler die fehlerbereinigte Version WP Maps Pro 6.1.1, in der die ungesicherte Funktion überarbeitet wurde. Webseiten-Administratoren wird dringend empfohlen, das Update unverzüglich einzuspielen.
Implikationen für die IT-Governance und das IT-Risikomanagement
Die massenhafte Ausnutzung von Schwachstellen in populären Drittanbieter-Plugins verdeutlicht die anhaltenden Herausforderungen für das IT-Sicherheitsmanagement und die übergeordnete IT-Governance in modernen Unternehmen. Da Content-Management-Systeme häufig für den öffentlichen Internetauftritt oder Kundenportale genutzt werden, bilden sie ein primäres Ziel für Angreifer, die nach Schwachstellen in der Unternehmensinfrastruktur suchen. Eine vorausschauende IT-Governance darf die Installation und Verwaltung von Plugins nicht den Marketing- oder Design-Abteilungen überlassen.
Im Rahmen des strategischen IT-Risikomanagements müssen strenge Richtlinien für die Überwachung, Inventarisierung und zeitnahe Aktualisierung aller genutzten Web-Komponenten etabliert werden. Das IT-Sicherheitsmanagement muss zudem Web-Application-Firewalls einsetzen, um unautorisierte Zugriffe auf administrative AJAX-Schnittstellen proaktiv zu blockieren. Nur durch ein lückenloses Schwachstellen-Monitoring und eine restriktive Rechtevergabe lässt sich das Risiko von Lieferketten-Angriffen effektiv minimieren und die operationelle Kontinuität der gesamten digitalen Organisation nachhaltig absichern.
