CWE-306 (Missing Authentication for Critical Function).
Das Ergebnis: Ein nicht authentifizierter Angreifer kann sich selbst
ein Administrator-Konto anlegen und damit die volle Kontrolle über die
Seite übernehmen.
wpgmp_temp_access_ajax.
Diese ist über wp_ajax_nopriv_ registriert, also bewusst auch
für nicht angemeldete Besucher erreichbar. Als einzige Schutzmaßnahme dient
eine Prüfung des Nonce fc-call-nonce. Das Problem: Genau dieser
Nonce wird per wp_localize_script in jede Frontend-Seite
eingebettet und ist damit für jeden öffentlich auslesbar.
Ein Nonce ist dazu gedacht, gültige Anfragen von gefälschten zu unterscheiden, nicht aber, um Zugriff zu beschränken. Sobald der Wert auf jeder öffentlichen Seite mitgeliefert wird, ist er kein Geheimnis mehr. Die vermeintliche Schutzmaßnahme läuft damit vollständig ins Leere und die kritische Funktion steht effektiv ohne Authentifizierung offen.
Der Angreifer ruft eine beliebige öffentliche Seite auf und
liest den frei mitgelieferten Nonce aus dem JavaScript-Objekt
wpgmp_local aus.
Mit diesem Nonce sendet er eine einzige HTTP-POST-Anfrage an den
offenen Endpunkt und ruft den Handler
wpgmp_temp_access_support mit
check_temp=false auf.
Der Handler legt über wp_insert_user() bedingungslos
einen neuen Benutzer mit der fest verdrahteten Rolle
administrator an.
Als Antwort liefert die Funktion eine Login-URL zurück. Wird
diese aufgerufen, setzt wp_set_auth_cookie() eine
gültige Sitzung für das neue Konto.
Der Angreifer ist nun als Administrator angemeldet und kontrolliert Inhalte, Einstellungen, Benutzerkonten und damit die gesamte Website.
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H bringt es
auf den Punkt: Der Angriff erfolgt über das Netzwerk, ist technisch einfach,
erfordert keine Rechte und keine Nutzerinteraktion und wirkt sich voll auf
Vertraulichkeit, Integrität und Verfügbarkeit aus. Auch wenn die Lücke
aktuell weder in der KEV-Liste geführt wird noch ein nennenswerter EPSS-Wert
vorliegt, gilt sie als automatisierbar mit „totalem“ technischen Impact. Wer
ein verwundbares System betreibt, sollte nicht auf den ersten
flächendeckenden Angriff warten.
Schnell prüfen: Ist WP Maps Pro auf eurer Seite installiert? Dann kontrolliert unter Plugins die Version. Alles bis einschließlich 6.1.0 gilt als verwundbar. Im Zweifel lieber einmal zu viel nachsehen als einmal zu wenig.
Zum Zeitpunkt der Veröffentlichung lag kein offizieller Patch und kein Workaround des Herstellers vor. Verlasst euch deshalb nicht allein auf ein Update, sondern reduziert die Angriffsfläche aktiv und prüft, ob die Lücke bereits ausgenutzt wurde.
Spielt eine vom Hersteller bereitgestellte fehlerbereinigte Version sofort ein. Ist noch keine verfügbar, deaktiviert oder entfernt das Plugin vorübergehend.
Prüft alle WordPress-Benutzer auf unbekannte Administratoren und löscht jedes Konto, das ihr nicht selbst angelegt habt.
Sperrt den verwundbaren Endpunkt per Web Application Firewall, erneuert Schlüssel und Sitzungen und behaltet Logins sowie neue Benutzer im Blick.
Wir verschaffen euch einen Überblick über eingesetzte Plugins, Versionsstände und bekannte Schwachstellen, damit ihr wisst, wo ihr wirklich angreifbar seid.
Bei Verdacht auf eine Kompromittierung prüfen wir Konten, Logs und Dateien auf Spuren und unterstützen bei der sauberen Wiederherstellung.
Mit Patch-Management, Monitoring und klaren Prozessen sorgen wir dafür, dass die nächste kritische CVE euch nicht unvorbereitet trifft.
Unsicher, ob ihr betroffen seid? Wir werfen gemeinsam einen Blick auf eure WordPress-Umgebung und sagen euch ehrlich, ob akuter Handlungsbedarf besteht und welcher Schritt als nächstes sinnvoll ist. Jetzt Kontakt aufnehmen.
CVE-2026-8732 ist ein Lehrstück dafür, wie eine gut gemeinte Komfortfunktion zur kritischen Lücke wird, wenn ein öffentlicher Wert mit einer echten Zugriffskontrolle verwechselt wird. Für betroffene Seiten ist das Risiko maximal: vollständige Übernahme ohne Anmeldung, automatisierbar und mit einem einzigen Request. Wer WP Maps Pro einsetzt, sollte die Version umgehend prüfen, die Angriffsfläche reduzieren und die eigenen Administrator-Konten kontrollieren. Mint Secure unterstützt euch dabei, egal ob es um den akuten Verdachtsfall oder um nachhaltig sichere WordPress-Installationen geht. Sprecht uns an.