Wordfence avertizează asupra unei breșe critice în pluginul WordPress WP Maps Pro - atacatorii pot crea conturi de administrator; patch disponibil în versiunea 6.1.1

O vulnerabilitate critică din pluginul WP Maps Pro permite preluarea completă a site-urilor WordPress , iar atacurile sunt deja în desfășurare, potrivit The Next Web . Problema afectează un plugin comercial vândut către peste 15.000 de site-uri și permite oricui, fără autentificare, să creeze conturi de administrator. Vulnerabilitatea este urmărită ca CVE-2026-8732 (scor CVSS 9.8 ) și afectează toate versiunile WP Maps Pro până la și inclusiv 6.1.0 . Remedierea a fost livrată în versiunea 6.1.1 , lansată la 20 mai 2026 . Conform articolului, campania de exploatare a fost observată de Wordfence, care a raportat că a blocat 2.858 de încercări de atac în cele 24 de ore dinaintea dezvăluirii. De ce contează: risc operațional imediat pentru companii și site-uri comerciale Miza principală este una operațională: vulnerabilitatea permite crearea unui administrator malițios și autentificarea completă pe site, ceea ce echivalează cu o preluare totală (instalare de cod malițios, modificare de conținut, furt de date, redirecționări etc.). WP Maps Pro este folosit frecvent ca „store locator” (localizator de magazine) și pentru hărți cu puncte de lucru, deci poate fi prezent pe site-uri care generează lead-uri, programări sau vânzări. Un factor de risc suplimentar ține de distribuție: pluginul este vândut prin Envato Market (CodeCanyon), nu prin directorul oficial WordPress, ceea ce înseamnă că actualizările nu vin prin mecanismul standard de auto-update al WordPress. În practică, asta poate întârzia aplicarea patch-ului, mai ales la site-uri administrate de utilizatori non-tehnici sau de agenții care nu urmăresc constant alertele de securitate. Cum funcționează atacul, pe scurt Potrivit explicațiilor din articol, problema pornește de la o funcție de „acces temporar” destinată suportului tehnic. Aceasta expune o acțiune AJAX care poate crea utilizatori WordPress cu rol de administrator, însă a fost înregistrată astfel încât să poată fi apelată și de vizitatori neautentificați. Protecția era bazată pe un „nonce” (token folosit, în mod normal, pentru a preveni anumite tipuri de abuz), dar tokenul era expus public în paginile site-ului, ceea ce îl făcea inutil ca mecanism real de control al accesului. Lanțul de atac descris permite, fără credențiale și fără inginerie socială, crearea unui admin și obținerea unui URL de autentificare care finalizează compromiterea. Ce ar trebui să facă administratorii de site-uri Măsura recomandată este actualizarea imediată la versiunea 6.1.1 . Pentru cei care nu pot aplica rapid actualizarea, articolul indică drept alternativă dezactivarea pluginului până la remediere. Ca verificare minimă, administratorii sunt îndemnați să controleze lista de utilizatori WordPress pentru conturi de administrator neașteptate , un indiciu practic că site-ul ar fi putut fi deja compromis. [...]