Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 03.06.2026 · 3 min Lesezeit

WP Maps Pro (CVE‑2026‑8732): Kritische Lücke erlaubt Admin-Übernahme - über 15.800 Sites in Gefahr

Eine kritische Lücke (CVE-2026-8732, CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt Angreifern ohne Anmeldung, Administrator-Konten anzulegen. Wordfence meldet aktive Angriffe - Patch 6.1.1 steht bereit.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Warn-Infografik zu CVE-2026-8732 in WP Maps Pro, mit unauthentifizierter Admin-Übernahme über eine kritische Plugin-Lücke, betroffenen WordPress-Websites, dringendem Update auf Version 6.1.1 und mehr als 15.000 gefährdeten Installationen.

Im kommerziellen WordPress-Plugin WP Maps Pro klafft eine kritische Sicherheitslücke, die bereits aktiv ausgenutzt wird. Die als CVE-2026-8732 geführte Schwachstelle erreicht den maximalen Schweregrad von CVSS 9.8 und erlaubt es nicht authentifizierten Angreifern, mit einer einzigen HTTP-Anfrage ein Administrator-Konto auf einer betroffenen Website anzulegen und sich sofort anzumelden. Betroffen sind alle Versionen bis einschließlich 6.1.0. Das Plugin wurde über den Envato Market an mehr als 15.800 Kunden verkauft. Sicherheitsforscher beobachten seit Ende Mai 2026 laufende Angriffskampagnen.

Die Schwachstelle: Token im Quelltext, kein Nonce-Schutz

Der Fehler steckt in der fehlerhaft implementierten Funktion Temporary Access (intern wpgmp_temp_access_ajax). Diese Funktion soll temporären Zugriff über eine passwortlose Magic-Login-URL ermöglichen. Das dafür benötigte Sicherheits-Token wird jedoch öffentlich im Seiten-Quelltext eingebettet, und es kommt kein Nonce-Schutz zum Einsatz.

Dadurch kann ein Angreifer das Token unmittelbar aus dem HTML auslesen, die passwortlose Login-URL exfiltrieren und sich damit sofortigen Administrator-Zugriff verschaffen. Eine Authentifizierung ist zu keinem Zeitpunkt erforderlich. Die Patch-Version 6.1.1 wurde am 20. Mai 2026 veröffentlicht; die aktive Ausnutzung gilt seit dem 31. Mai beziehungsweise 1. Juni 2026 als bestätigt.

Bin ich betroffen?

Betroffen sind Installationen des Plugins WP Maps Pro in Version 6.1.0 und älter. Da das Plugin kommerziell über den Envato Market vertrieben wird, taucht es nicht im offiziellen WordPress.org-Verzeichnis auf - automatische Update-Hinweise erreichen viele Betreiber daher verzögert oder gar nicht.

Betreiber sollten im WordPress-Backend unter Plugins die installierte Version von WP Maps Pro prüfen. Ebenso wichtig: Die Benutzerliste sollte auf unbekannte oder verdächtige Administrator-Einträge kontrolliert werden, da die Angriffe genau auf das Anlegen solcher Konten abzielen. Wordfence/Defiant meldete innerhalb von 24 Stunden mindestens 3.600 blockierte Exploit-Versuche; andere Quellen nennen je nach Beobachtungszeitraum Werte zwischen rund 2.000 und 2.900 Versuchen.

Wie behebe ich das?

Die wichtigste Maßnahme ist das sofortige Update auf WP Maps Pro 6.1.1 oder neuer. Ist ein Update nicht unmittelbar möglich, sollte das Plugin vorübergehend deaktiviert werden, um die Angriffsfläche zu schließen.

Zusätzlich empfehlen Sicherheitsforscher folgende Schritte:

  1. Die Benutzerliste auf verdächtige Administrator-Konten prüfen und unbekannte Einträge entfernen.
  2. Die Passwörter aller verbliebenen Administratoren zurücksetzen.
  3. Logs und Inhalte auf Anzeichen einer bereits erfolgten Kompromittierung untersuchen (etwa unerwartete Weiterleitungen oder eingeschleuste Dateien).

Über die WP-CLI lässt sich der Plugin-Stand schnell prüfen und aktualisieren:

wp plugin list --name=wp-maps-pro
wp plugin update wp-maps-pro
wp user list --role=administrator --field=user_login

Was bedeutet das für Unternehmen?

Ein erfolgreicher Angriff ermöglicht die vollständige Übernahme der Website. Mögliche Folgen reichen von Datenverlust und Website-Umleitungen über die Installation von Malware bis hin zu Reputationsschäden und Compliance-Verstößen. Die bereits laufenden Exploit-Kampagnen deuten auf ein hohes, unmittelbares Risiko hin.

Weil das Plugin kommerziell über Envato verteilt wird, verbreiten sich Patches erfahrungsgemäß langsamer als bei Plugins aus dem WordPress.org-Verzeichnis. Verantwortliche sollten betroffene Installationen daher nicht abwarten, sondern als priorisierten Vorfall behandeln und umgehend handeln.

Quellen: BleepingComputer, Wordfence Blog, Security Affairs, The Hacker News.

Verwandt

Weiter lesen

Alle Artikel →
Realistisches Hero-Bild mit WordPress-Admin- oder Entwickler-Arbeitsplatz für einen Artikel über eine kritische Sicherheitslücke mit möglicher Admin-Übernahme.
02.06.2026 ·3 min

WP Maps Pro: Kritische Lücke CVE-2026-8732 erlaubt Admin-Übernahme ohne Authentifizierung

Eine kritische Schwachstelle (CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt unauthentifizierten Angreifern, Administrator-Konten zu erstellen. Die Lücke wird bereits aktiv ausgenutzt. Patch ist seit Version 6.1.1 verfügbar.
Uhr und Zeitplan als Symbol fuer geplante Cronjobs unter WordPress
01.06.2026 ·7 min

WordPress Cron Job einrichten: WP-Cron durch echten System-Cron via WP-CLI ersetzen

WP-Cron läuft nur bei Seitenaufrufen und ist bei wenig Traffic unzuverlässig. In dieser Anleitung deaktivierst du das pageload-abhängige Verhalten und richtest einen echten System-Cronjob via WP-CLI ein, damit geplante WordPress-Aufgaben zuverlässig laufen.
Laptop mit Programmcode und Fehlermeldung auf dem Bildschirm
01.06.2026 ·9 min

WordPress Debug-Modus aktivieren: Error-Logs analysieren und Fehler selbst beheben

Lerne, wie du den WordPress Debug-Modus aktivieren und die debug.log auswerten kannst, um White Screens, PHP-Fehler und Plugin-Konflikte selbst zu finden und sauber zu beheben.