Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 02.06.2026 · 3 min Lesezeit

WP Maps Pro: Kritische Lücke CVE‑2026‑8732 erlaubt Admin-Übernahme ohne Authentifizierung

Eine kritische Schwachstelle (CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt unauthentifizierten Angreifern, Administrator-Konten zu erstellen. Die Lücke wird bereits aktiv ausgenutzt. Patch ist seit Version 6.1.1 verfügbar.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Realistisches Hero-Bild mit WordPress-Admin- oder Entwickler-Arbeitsplatz für einen Artikel über eine kritische Sicherheitslücke mit möglicher Admin-Übernahme.

Im weit verbreiteten WordPress-Plugin WP Maps Pro klafft eine kritische Sicherheitslücke, die Angreifern ohne jede Authentifizierung die vollständige Übernahme betroffener Websites ermöglicht. Die unter CVE-2026-8732 geführte Schwachstelle wird mit einem CVSS-Score von 9.8 als kritisch eingestuft und erlaubt es Unbefugten, eigene Administrator-Konten anzulegen. Nach Angaben von Sicherheitsforschern wird die Lücke bereits aktiv in freier Wildbahn ausgenutzt. Betroffen sind alle Plugin-Versionen bis einschließlich 6.1.0 auf über 15.800 WordPress-Websites. Da die Schwachstelle ohne gültige Zugangsdaten ausgenutzt werden kann und unmittelbar volle Administratorrechte verschafft, zählt sie zu den schwerwiegendsten Kategorien von WordPress-Sicherheitsproblemen.

Die Schwachstelle

Der Fehler steckt in einer Funktion für temporären Zugriff, die eigentlich Support-Personal kurzzeitigen Zugang zu einer Installation verschaffen soll. Der zuständige AJAX-Endpunkt prüft die Authentifizierung jedoch nur unzureichend, und der eigentlich schützende Nonce ist öffentlich exponiert. Dadurch können unauthentifizierte Angreifer den Mechanismus missbrauchen, um sich selbst ein Administrator-Konto zu erstellen und die volle Kontrolle über die betroffene WordPress-Site zu erlangen.

Die Sicherheitsfirma Wordfence registrierte und blockierte die Angriffe in großem Umfang. Die genannten Zahlen schwanken zwischen den Quellen: Während BleepingComputer von 2.858 blockierten Angriffen innerhalb von 24 Stunden berichtet, nennen The Hacker News und TechRadar rund 3.600 Versuche, Security Affairs spricht von etwa 2.003. Die Unterschiede erklären sich durch abweichende Messzeiträume und Zählmethodiken; an der Tatsache der aktiven, breit angelegten Ausnutzung ändert das nichts.

Bin ich betroffen?

Betroffen sind sämtliche Installationen von WP Maps Pro in Version 6.1.0 und älter. Betreiber sollten in der WordPress-Verwaltung unter Plugins die installierte Version prüfen. Besonders im Fokus stehen laut den Berichten E-Commerce-Seiten, Immobilienportale und Verzeichnisdienste, die das Plugin häufig zur Darstellung von Standorten einsetzen.

Wer eine Version vor 6.1.1 betreibt, muss von einem unmittelbaren Risiko ausgehen. Zur Überprüfung einer möglichen Kompromittierung sollten die Server- und WordPress-Logs sowie die Liste der Benutzerkonten kontrolliert werden – insbesondere auf kürzlich neu angelegte Administrator-Konten. Da die Angriffe nach Angaben von Wordfence automatisiert und in großem Umfang erfolgen, kann auch eine Installation betroffen sein, deren Betreiber bislang keine auffälligen Symptome bemerkt haben. Folgende WP-CLI-Befehle helfen, installierte Version und vorhandene Administrator-Konten schnell zu prüfen:

wp plugin get wp-maps-pro --field=version
wp user list --role=administrator --fields=ID,user_login,user_registered

Wie behebe ich das?

Der Hersteller hat den Fehler mit Version 6.1.1 behoben, die seit dem 20. Mai 2026 verfügbar ist. Das Update beschränkt den Zugriff auf den betroffenen Endpunkt wieder auf authentifizierte Administratoren. Betreiber sollten umgehend aktualisieren:

  1. WP Maps Pro über die WordPress-Verwaltung oder per WP-CLI auf Version 6.1.1 oder neuer aktualisieren.
  2. Sämtliche Administrator-Konten überprüfen und unautorisierte Einträge entfernen.
  3. Server-Zugriffs- und Anwendungslogs auf verdächtige AJAX-Aufrufe und Kontoerstellungen prüfen.
  4. Bei Anzeichen einer Kompromittierung alle Passwörter und Sicherheitsschlüssel zurücksetzen.
wp plugin update wp-maps-pro
wp plugin get wp-maps-pro --field=version

Was bedeutet das für Unternehmen?

Das Risiko ist als kritisch einzustufen, da es sich um eine unmittelbar realisierbare, bereits aktiv ausgenutzte Lücke handelt. Eine erfolgreiche Übernahme ermöglicht Angreifern das volle Spektrum schädlicher Aktivitäten: Defacement, Diebstahl von Geschäfts- und Kundendaten sowie den Missbrauch der kompromittierten Infrastruktur für weitere Angriffe. Gerade für E-Commerce- und Verzeichnis-Plattformen mit sensiblen Kundendaten besteht erhöhter Handlungsdruck, da hier zusätzlich datenschutzrechtliche Meldepflichten greifen können, sobald personenbezogene Daten abfließen.

Unternehmen, die WP Maps Pro einsetzen, sollten das Update auf Version 6.1.1 als sofortige Priorität behandeln und parallel eine Kompromittierungsprüfung durchführen. Angesichts der laufenden Angriffswelle ist davon auszugehen, dass ungepatchte Installationen innerhalb kurzer Zeit ins Visier automatisierter Scans geraten.

Quellen: BleepingComputer, The Hacker News, Security Affairs, TechRadar, SC Media.

Verwandt

Weiter lesen

Alle Artikel →
Uhr und Zeitplan als Symbol fuer geplante Cronjobs unter WordPress
01.06.2026 ·7 min

WordPress Cron Job einrichten: WP-Cron durch echten System-Cron via WP-CLI ersetzen

WP-Cron läuft nur bei Seitenaufrufen und ist bei wenig Traffic unzuverlässig. In dieser Anleitung deaktivierst du das pageload-abhängige Verhalten und richtest einen echten System-Cronjob via WP-CLI ein, damit geplante WordPress-Aufgaben zuverlässig laufen.
Laptop mit Programmcode und Fehlermeldung auf dem Bildschirm
01.06.2026 ·9 min

WordPress Debug-Modus aktivieren: Error-Logs analysieren und Fehler selbst beheben

Lerne, wie du den WordPress Debug-Modus aktivieren und die debug.log auswerten kannst, um White Screens, PHP-Fehler und Plugin-Konflikte selbst zu finden und sauber zu beheben.
Notebook mit Windows-Oberflaeche steht stellvertretend fuer den monatlichen Microsoft-Patchday
31.05.2026 ·2 min

Offizielles WordPress-Plugin verbindet Blogs direkt mit Bluesky und AT Protocol

Mit dem neuen ATmosphere-Plugin können WordPress-Inhalte direkt in das AT Protocol und nach Bluesky publiziert werden. Damit wächst eine echte, dezentrale Alternative zu klassischen Social-Plugins.