Kritische Sicherheitslücke in WP Maps Pro ermöglicht Angreifern die Erstellung von Administrator-Konten

Rahmen dieser Meldung erhielt der Forscher eine Belohnung in Höhe von 1.950 US-Dollar. Maps Pro, das auf der Plattform CodeCanyon mehr als 15.000 Verkäufe verzeichnet, wird häufig zur Einbettung anpassbarer Google Maps mit erweiterten Standortfunktionen genutzt.

Kern handelt es sich bei dem Problem um eine nicht authentifizierte Privilegien-Eskalation innerhalb der AJAX-Funktionalität des Plugins. Konkret ist der verwundbare Endpunkt über die Aktion „wpgmp_temp_access_ajax" exponiert. Dieser ist fälschlicherweise so registriert, dass er unauthentifizierten Zugriff erlaubt.

Obwohl die Funktion eine Nonce-Prüfung enthält, ist die Nonce Frontend-JavaScript öffentlich zugänglich, wodurch der Schutz wirkungslos wird. Angreifer können die Schwachstelle ausnutzen, indem sie eine speziell gestaltete Anfrage mit einem bestimmten Parameter senden, der die temporäre Zugriffsfunktion des Plugins auslöst.

Einordnung fuer Autofahrer

Diese Funktion wurde ursprünglich entwickelt, Support-Mitarbeitern temporären Login-Zugang zu gewähren, verfügt jedoch über keine angemessenen Autorisierungsprüfungen. Infolgedessen erstellt das Plugin automatisch einen neuen Benutzer mit Administrator-Rechten unter Verwendung interner WordPress-Funktionen.

Sobald das Konto erstellt wurde, generiert das Plugin eine sogenannte „Magic-Login-URL", die eine Passwort-freie Authentifizierung ermöglicht. Durch das Aufrufen dieser URL wird der Angreifer als Administrator über ein Sitzungs-Cookie angemeldet und erhält uneingeschränkten Zugriff auf die Website.

Dies umfasst die Möglichkeit, bösartige Plugins zu installieren, Backdoors einzufügen, Site-Inhalte zu manipulieren oder sensible Daten zu exfiltrieren. Der Anbieter hat die Schwachstelle Version 6.1.1 behoben.

Dazu wurde eine korrekte Berechtigungsprüfung mittels

Dazu wurde eine korrekte Berechtigungsprüfung mittels der Funktion „current_user_can('manage_options') implementiert, um sicherzustellen, dass nur authentifizierte Administratoren auf die sensiblen Funktionen zugreifen können. Wordfence reagierte schnell, um die Nutzer zu schützen, und setzte am 18.

Mai 2026 eine Firewall-Regel für seine Premium-, Care- und Response-Kunden Kraft. Nutzer der kostenlosen Version erhalten den gleichen Schutz voraussichtlich am 17. Juni 2026.

Aufgrund des Fehlens direkter Kontakte zum Anbieter wurde die Offenlegung der Schwachstelle über das Sicherheitsteam ängen alle Nutzer, unverzüglich auf Version 6.1.1 zu aktualisieren. Websites, die veraltete Versionen ausführen, bleiben extrem anfällig für Angriffe; Angreifer benötigen keine Authentifizierung, um gesamte Systeme zu kompromittieren.

Dieser Vorfall unterstreicht die anhaltenden Risiken, die durch unsicher konfigurierte AJAX-Endpunkte entstehen, und betont die Bedeutung strenger Zugriffskontrollen bei der Entwicklung und Reporterin bei