WP Maps Pro баг се експлоатира-вметнува за создавање администраторски сметки на WordPress сајтови

Хакери таргетираат WordPress веб-страници кои користат ранлива верзија на WP Maps Pro плагин, кој овозможува создавање неовластени администраторски сметки без автентикација.

Ранливоста, означена како CVE-2026-8732, има критично ниво на сериозност и ги погодува WP Maps Pro верзиите 6.1.0 и постари. Таа е откриена и пријавена од безбедносниот истражувач David Brown.

WP Maps Pro е премиум WordPress плагин за изработка на интерактивни, прилагодливи мапи и алатки за лоцирање продавници. Поддржува повеќе провајдери на мапи, како Google Maps и OpenStreetMap.

Плагинoт најчесто го користат бизниси, веб-страници за недвижности, туристички сајтови, директориуми и организации кои треба да прикажуваат повеќе локации на мапа, и има над 15.800 продажби на Envato Market.

Ранливоста CVE-2026-8732 е предизвикана од функцијата „temporary access“ во плагинoт, која е наменета да им овозможи пристап на техничка поддршка од провајдерот до корисничките сајтови за решавање проблеми. Истражувачот Brown утврдил дека AJAX endpoint-от што се користи за оваа функција е достапен и за неавтентицирани корисници и се потпира само на јавно изложена nonce проверка во frontend JavaScript, што ја прави заштитата неефикасна.

Ова овозможува испраќање специјално подготвен (crafted) барање кое активира код за создавање нов WordPress корисник, доделување администраторска улога, генерирање URL за најава без лозинка и негово испраќање до далечински систем.

Откако напаѓачот ќе го отвори овој URL, тој автоматски се автентицира во новосоздадената администраторска сметка, без потреба од лозинка или дополнителна проверка.

Истражувачи од WordPress безбедносната компанија Defiant забележале дека заканувачки актери веќе се обидуваат да ја злоупотребат оваа ранливост и блокирале повеќе од 3.600 обиди во последните 24 часа.

„Кога барањето се испраќа со параметар check_temp поставен на false, функцијата создава нов WordPress корисник преку wp_insert_user() со хардкодирана улога administrator, случајно генерирано корисничко име и хардкодирана email адреса support@flippercode.com,“ објаснуваат истражувачите.

„Функцијата потоа генерира ‘магичен login URL’ со користење на generate_login_link(), го зачувува како user meta податок и го враќа во телото на одговорот.“

Да се има администраторски пристап на сајтот значи дека напаѓачите можат да вметнат постојани backdoor-и, да модифицираат содржина, да пристапат до приватни податоци, да инсталираат web shell-ови, да инсталираат злонамерни плагини и да преземат целосна контрола врз веб-страницата.

Brown ја пријавил ранливоста на Wordfence на 24 март, а производителот бил известен на 16 мај по валидација на експлоитот. На 20 мај беше објавена WP Maps Pro верзија 6.1.1 со поправка за CVE-2026-8732. На администраторите на веб-страници им се препорачува итно ажурирање на плагините, бидејќи веќе е забележана злонамерна активност.

Извори:

• Bleeping Computer – WP Maps Pro bug exploited to create admin accounts on WordPress sites Bleeping Computer