Erro no WP Maps Pro é explorado para criar contas de administrador em sites WordPress


Criando contas no WordPress a partir de falha no WP Maps PRO

 

Hackers estão visando sites WordPress que executam uma versão vulnerável do plugin WP Maps Pro, que permite a criação de contas de administrador fraudulentas sem autenticação.A vulnerabilidade, rastreada como CVE-2026-8732, tem classificação de gravidade crítica e afeta as versões 6.1.0 e anteriores do WP Maps Pro. Ela foi descoberta e relatada pelo pesquisador de segurança David Brown.

O WP Maps Pro é um plugin premium do WordPress para a criação de mapas interativos e personalizáveis, além de localizadores de lojas. Ele suporta diversos provedores de mapas, como Google Maps e OpenStreetMap. O plugin é normalmente usado por empresas, sites imobiliários, sites de viagens, diretórios e organizações que precisam exibir vários locais em um mapa, e possui mais de 15.800 vendas no Envato Market.

A vulnerabilidade CVE-2026-8732 é causada por um recurso de "acesso temporário" no plugin, destinado a permitir que a equipe de suporte do fornecedor acesse os sites dos clientes para solucionar problemas.

Brown descobriu que o endpoint AJAX usado para esse recurso era acessível a usuários não autenticados e dependia exclusivamente de uma verificação de nonce exposta publicamente no JavaScript do frontend, tornando a proteção ineficaz.

Isso permite o envio de uma solicitação especialmente criada que aciona um código para criar um novo usuário do WordPress, atribuir a ele a função de administrador, gerar uma URL de login sem senha e enviá-la para um sistema remoto. Assim que o invasor acessa essa URL, ele é autenticado automaticamente na conta de administrador recém-criada, sem a necessidade de senha ou qualquer outra verificação.

Pesquisadores da Defiant, empresa de segurança do WordPress, observaram que agentes maliciosos estão tentando explorar a vulnerabilidade e bloquearam mais de 3.600 tentativas nas últimas 24 horas.

Em 20 de maio, foi lançada a versão 6.1.1 do WP Maps Pro com uma correção para a vulnerabilidade CVE-2026-8732. Recomenda-se que os administradores de sites atualizem seus plugins o mais rápido possível, pois já foram observadas atividades maliciosas.


Fonte: https://www.bleepingcomputer.com/news/security/wp-maps-pro-bug-exploited-to-create-admin-accounts-on-wordpress-sites/