Angreifer zielen aktiv auf WordPress-Websites ab, auf denen anfällige Versionen des **WP Maps Pro** Plugins laufen, und nutzen eine Lücke aus, um bösartige Administrator-Konten zu erstellen, ohne eine Authentifizierung zu benötigen. ## Details zur Schwachstelle Die als **CVE-2026-8732** identifizierte Schwachstelle hat eine kritische Einstufung und betrifft **WP Maps Pro** Versionen 6.1.0 und früher. Sie wurde vom Sicherheitsforscher **David Brown** entdeckt und gemeldet. **WP Maps Pro** ist ein Premium-WordPress-Plugin, das für die Erstellung interaktiver und anpassbarer Karten und Store-Locator entwickelt wurde. Es unterstützt verschiedene Kartenanbieter wie **Google Maps** und **OpenStreetMap**. Das Plugin wird von Unternehmen, Immobilien-Websites, Reise-Websites, Verzeichnissen und anderen Organisationen, die mehrere Standorte anzeigen müssen, genutzt und verzeichnet über 15.800 Verkäufe auf dem **Envato Market**. ## Technische Erklärung **CVE-2026-8732** resultiert aus einer "temporären Zugriffs"-Funktion, die dazu gedacht war, Support-Mitarbeitern des Anbieters den Zugriff auf Kunden-Websites zur Fehlerbehebung zu ermöglichen. Brown entdeckte, dass der AJAX-Endpunkt für diese Funktion für nicht authentifizierte Benutzer zugänglich war. Der Schutz beruhte ausschließlich auf einer öffentlich zugänglichen Nonce-Prüfung in Frontend-JavaScript, was ihn unwirksam machte. Dies ermöglicht es Angreifern, eine präparierte Anfrage zu senden, die die Erstellung eines neuen WordPress-Benutzers mit Administratorrechten auslöst. Der Angriff generiert dann eine passwortlose Anmelde-URL und sendet sie an ein Remote-System. Das Aufrufen dieser URL authentifiziert den Angreifer automatisch im neu erstellten Administrator-Konto und umgeht so Passwortanforderungen oder andere Verifizierungsmethoden. ## Aktive Ausnutzung Forscher von **Defiant**, einem WordPress-Sicherheitsunternehmen, haben aktive Ausnutzungsversuche beobachtet und in den letzten 24 Stunden über 3.600 Versuche blockiert.  "Wenn die Anfrage mit einem `check_temp`-Parameter auf `false` gesetzt wird, erstellt die Funktion einen neuen WordPress-Benutzer über `wp_insert_user()` mit der fest kodierten Rolle Administrator, einem zufällig generierten Benutzernamen und der fest kodierten E-Mail-Adresse `[email protected]`", erklären die Forscher von **Wordfence**. "Die Funktion generiert dann eine 'Magic Login URL' mit `generate_login_link()`, speichert sie als Benutzer-Meta und gibt sie im Antwortkörper zurück." ## Auswirkungen Admin-Zugriff ermöglicht es Angreifern, persistente backdoors einzuschleusen, Inhalte zu ändern, auf private Daten zuzugreifen, Web-Shells bereitzustellen, bösartige Plugins zu installieren und die Website vollständig zu übernehmen. ## Behebung Brown meldete die Lücke am 24. März an **Wordfence**. Der Anbieter wurde am 16. Mai nach der Validierung benachrichtigt. Am 20. Mai wurde **WP Maps Pro** 6.1.1 veröffentlicht, das **CVE-2026-8732** behebt. Website-Administratoren wird dringend empfohlen, ihre Plugins sofort zu aktualisieren, um das Risiko der Ausnutzung zu minimieren.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie benötigen sechs. Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)