Wenn guter Support zur Sicherheitslücke wird
Das WordPress-Ökosystem ist bekannt für seine enorme Flexibilität – und leider auch für regelmäßig aufflammende Sicherheitsprobleme. Diesmal trifft es ein Plugin, das viele Betreiber von lokalen Unternehmensseiten oder Filialfindern nutzen: WP Maps Pro. Mit über 15.000 Verkäufen auf dem Envato Market ist das Plugin weit verbreitet. Eine dort entdeckte kritische Sicherheitslücke (CVE-2026-8732) wird laut dem Sicherheitsforscher-Team von Wordfence bereits massiv und aktiv ausgenutzt. Das Ziel der Angreifer: Die Erstellung böswilliger Administrator-Accounts, um die volle Kontrolle über die betroffenen Websites zu übernehmen.
Die technische Anatomie einer Katastrophe
Die Schwachstelle, die einen CVSS-Score von 9.8 („Critical“) aufweist, betrifft alle Versionen des Plugins bis einschließlich 6.1.0. Sie wurde in Version 6.1.1 behoben. Entdeckt wurde sie von dem Security-Forscher David Brown.
Im Kern handelt es sich um eine klassische Privilege Escalation. Das Problem liegt in einem Feature, das eigentlich helfen sollte: einer „temporären Zugriff“-Funktion für den Support. Um Kundenprobleme effizient lösen zu können, implementierten die Entwickler von WP Maps Pro die Funktion wpgmp_temp_access_support(). Diese erlaubt es dem Support-Team, sich vorübergehend auf der Website einzuloggen.
Die Umsetzung dieser Funktion ist jedoch ein Lehrbeispiel dafür, wie man Security-Prinzipien nicht umsetzen sollte. Die Funktion wurde über den WordPress-Hook wp_ajax_nopriv_ registriert. Das Präfix nopriv bedeutet in der WordPress-Architektur, dass dieser Endpunkt auch von unauthentifizierten Nutzern aufgerufen werden kann – also von jedem im Internet.
Das Nonce-Missverständnis
Warum fiel das nicht früher auf? Die Entwickler hatten immerhin einen sogenannten Nonce („Number Used Once“) als Schutzmechanismus implementiert – in diesem Fall den fc-call-nonce. Nonces sind in WordPress ein gängiges Mittel, um Cross-Site Request Forgery (CSRF) zu verhindern. Sie stellen sicher, dass eine Aktion nur von einer Seite aus durchgeführt werden kann, die den Nonce-Wert kennt.
Der fatale Fehler: Dieser Nonce wurde über die Funktion wp_localize_script als Teil des JavaScript-Objekts wpgmp_local auf jeder öffentlichen Frontend-Seite der Website eingebettet. Jeder Besucher, ob gut oder böse, konnte den Nonce einfach aus dem Quelltext der Seite auslesen. Ein Nonce, der öffentlich zugänglich ist, verliert komplett seinen Wert als Zugriffssteuerungsmechanismus (Access Control). Er schützt dann nur noch nicht vor bösartigen Requests von Drittseiten, aber nicht vor gezielten Angriffen von außen.
Von der Funktion zur vollständigen Übernahme
Was passiert bei einem Angriff? Ein unauthentifizierter Angreifer ruft die AJAX-Action wpgmp_temp_access_ajax auf, übergibt den öffentlich lesbaren Nonce und setzt den Parameter check_temp=false. Daraufhin erstellt die Funktion wpgmp_temp_access_support() bedingungslos einen neuen WordPress-Nutzer mit der hartkodierten Rolle eines Administrators via wp_insert_user().
Das ist noch nicht das Ende: Die Funktion gibt im Anschluss eine „Magic Login URL“ zurück. Wenn der Angreifer diese URL aufruft, wird via wp_set_auth_cookie() die Authentifizierung als der neu erstellte Admin gesetzt. Ohne Passwort, ohne MFA, ohne jegliche Hürde. Das Ergebnis ist ein vollständiger Site-Takeover.
Aktive Ausnutzung und die Realität des WordPress-Marktes
Theoretische Schwachstellen sind gefährlich, aber aktiv ausgenutzte sind ein akutes Problem. Laut Wordfence wurden in den letzten 24 Stunden allein 2.858 Angriffe blockiert, die auf diese Lücke abzielten. Das zeigt einmal mehr, wie schnell bösartige Akteure neue Exploit-Codes in ihre automatisierten Bot-Netzwerke integrieren.
Dieses Szenario wirft ein Schlaglicht auf ein strukturelles Problem des kommerziellen WordPress-Marktes: Plugins werden oft mit Fokus auf Funktionalität und Kundensupport entwickelt. Der Wunsch, dem Kunden bei Problemen schnell und unkompliziert helfen zu wollen, führt zu Konstrukten wie diesem „Temp Support Access“. Dass solche Features jedoch ohne strenge Authentifizierungs- und Autorisierungsprüfungen implementiert werden, ist ein fahrlässiger Deal: Man tauscht kurzfristigen Komfort gegen langfristige Sicherheitsrisiken.
Der Patch, der am 20. Mai 2026 veröffentlicht wurde, stellt immerhin sicher, dass der Endpunkt nun nur noch von authentifizierten Administratoren erreicht werden kann. Wer WP Maps Pro einsetzt, muss dringend auf Version 6.1.1 aktualisieren. Darüber hinaus sollten Site-Operatoren dringend ihre Benutzerliste in WordPress prüfen. Gibt es dort unbekannte Admin-Accounts mit kryptischen Namen? Wenn ja, ist die Website wahrscheinlich bereits kompromittiert, und ein einfaches Update reicht nicht mehr aus – hier ist eine vollständige Untersuchung und Bereinigung erforderlich.
Das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege) gilt auch für Support-Features. Wer Hintertüren einbaut, muss davon ausgehen, dass sie auch von denen gefunden werden, für die sie nie gedacht waren.
Quelle: The Hacker News