Falla de WP Maps Pro de WordPress explotada para crear cuentas de administrador

      TL;DRA vulnerabilidad crítica (CVE-2026-8732, CVSS 9.8) en el plugin WP Maps Pro de WordPress permite a atacantes no autenticados crear cuentas de administrador y tomar el control de los sitios. Wordfence bloqueó 2,858 intentos de explotación en 24 horas, con la falla corregida en la versión 6.1.1.

      Una vulnerabilidad crítica en WP Maps Pro, un plugin comercial de WordPress con más de 15,000 ventas en el Envato Market, está siendo explotada activamente por atacantes para crear cuentas de administrador maliciosas en sitios vulnerables. La falla, rastreada como CVE-2026-8732 con una puntuación CVSS de 9.8, permite a usuarios no autenticados obtener control administrativo total de cualquier instalación de WordPress que ejecute una versión del plugin sin parches.

      Wordfence, que descubrió la campaña de explotación, informó haber bloqueado 2,858 ataques dirigidos a la vulnerabilidad en las 24 horas previas a su divulgación. La falla afecta a todas las versiones de WP Maps Pro hasta e incluyendo la 6.1.0 y fue corregida en la versión 6.1.1, lanzada el 20 de mayo de 2026. El investigador de seguridad David Brown es acreditado por descubrir y reportar el problema.

      Cómo funciona la explotación

      WP Maps Pro incluye una función de “acceso temporal” diseñada para permitir que el personal de soporte del plugin inicie sesión en el sitio de un cliente durante la solución de problemas. La función expone una acción AJAX llamada “wpgmp_temp_access_ajax” que puede crear un nuevo usuario de WordPress con privilegios de administrador. La arquitectura de seguridad detrás de la función era fundamentalmente defectuosa: la acción estaba registrada con el gancho “wp_ajax_nopriv_” de WordPress, lo que significa que podía ser llamada por visitantes no autenticados.

      La única protección era una verificación de nonce, un token destinado a prevenir la falsificación de solicitudes entre sitios. Pero el nonce estaba incrustado públicamente en cada página del frontend del sitio a través del objeto JavaScript “wpgmp_local”, lo que lo hacía inútil como mecanismo de control de acceso. Cualquier visitante podía leer el nonce desde el código fuente de la página y usarlo para invocar la función.

      Un atacante que llama al endpoint con el parámetro “check_temp=false” activa la función “wpgmp_temp_access_support()”, que incondicionalmente crea un nuevo usuario de WordPress con el rol codificado de administrador y devuelve una URL mágica de inicio de sesión. Visitar esa URL llama a “wp_set_auth_cookie()” para autenticar completamente al atacante como el nuevo administrador creado. Toda la cadena, desde la solicitud no autenticada hasta la toma de control total del sitio, no requiere credenciales, ingeniería social ni acceso previo.

      El plugin y su alcance

      WP Maps Pro permite a los propietarios de sitios incrustar vistas personalizables de Google Maps y OpenStreetMap con marcadores, listados y características avanzadas de ubicación. Se utiliza comúnmente como una herramienta de localización de tiendas para negocios que necesitan ayudar a los usuarios a encontrar ubicaciones cercanas, ver detalles y obtener direcciones. El plugin se vende a través del Envato Market (CodeCanyon), no a través del directorio oficial de plugins de WordPress, lo que significa que las actualizaciones no se distribuyen a través del mecanismo estándar de autoactualización de WordPress.

      Ese modelo de distribución crea un riesgo particular. Los propietarios de sitios que compraron el plugin pueden no recibir notificaciones automáticas sobre la actualización de seguridad, y muchas instalaciones de WordPress son mantenidas por usuarios no técnicos o agencias que no monitorean las divulgaciones de vulnerabilidades. A diferencia de la infraestructura de ciberdelincuencia a gran escala que las fuerzas del orden pueden atacar con incautaciones de servidores, las vulnerabilidades de los plugins de WordPress son explotadas a través de campañas de escaneo distribuidas y automatizadas que son difíciles de interrumpir.

      Lo que los propietarios de sitios deben hacer

      El parche en la versión 6.1.1 restringe el endpoint de acceso temporal solo a administradores autenticados. Los propietarios de sitios que ejecutan WP Maps Pro deben actualizar de inmediato. Aquellos que no pueden actualizar deben desactivar el plugin hasta que puedan aplicar el parche. Verificar si hay cuentas de administrador inesperadas en la lista de usuarios de WordPress es un primer paso práctico para determinar si un sitio ya ha sido comprometido.

      La vulnerabilidad es un ejemplo clásico de un patrón que se repite en todo el ecosistema de WordPress: una función de soporte o depuración que otorga privilegios elevados, protegida por un mecanismo de seguridad que en realidad no restringe el acceso. Los programas de divulgación de vulnerabilidades y los investigadores de seguridad como Brown juegan un papel crítico en la detección de estas fallas antes de que causen daños generalizados, pero los 2,858 ataques bloqueados en un solo día demuestran que la ventana entre la divulgación y la explotación ahora se mide en horas, no en semanas.

Otros artículos

IBM se dispara un 30% mientras Barclays llama a su software el antídoto de la SaaSpocalipsis. IBM se dispara un 30% mientras Barclays llama a su software el antídoto de la SaaSpocalipsis. Barclays inició cobertura de IBM con una calificación de sobrepeso y un objetivo de $350, diciendo que su software de infraestructura es inmune a la disrupción de la IA. Las acciones subieron un 30% en mayo por compromisos cuánticos. El ex-CTO de Meta recauda $250 millones para un fondo climático a medida que la demanda de energía por IA se dispara. El ex-CTO de Meta recauda $250 millones para un fondo climático a medida que la demanda de energía por IA se dispara. El Gigascale Capital de Mike Schroepfer recauda $250 millones para startups de energía y clima, apostando a que las demandas de energía de la IA harán que la tecnología limpia sea la verdadera ganadora del auge de la IA. GoPro advirtió que puede que no sobreviva. La crisis de memoria de la IA está matando a las empresas que fabrican cosas que la gente sostiene. Los precios de la memoria aumentaron un 80-115%. Los ingresos cayeron un 26%. GoPro advirtió sobre "dudas sustanciales" acerca de su capacidad para continuar. Está explorando una venta o un cambio hacia la defensa. Servicio de trampas de GTA V Atlas Menu hackeado, 64,000 cuentas expuestas Servicio de trampas de GTA V Atlas Menu hackeado, 64,000 cuentas expuestas Atlas Menu, un servicio de trampas de GTA V que promete "privacidad mejorada", fue violado, exponiendo 64,000 cuentas con correos electrónicos, contraseñas y direcciones IP publicadas en GitHub. El ex-CTO de Meta recauda $250 millones para un fondo climático a medida que la demanda de energía de la IA se dispara. El ex-CTO de Meta recauda $250 millones para un fondo climático a medida que la demanda de energía de la IA se dispara. El capital de Gigascale de Mike Schroepfer recauda $250 millones para startups de energía y clima, apostando a que las demandas de energía de la IA harán que la tecnología limpia sea la verdadera ganadora del auge de la IA. Los hackers secuestraron cuentas de Instagram pidiendo al propio chatbot de IA de Meta que restableciera la contraseña. Los hackers secuestraron cuentas de Instagram pidiendo al propio chatbot de IA de Meta que restableciera la contraseña. El bot de soporte de IA agregó el correo electrónico de un hacker, envió un código de verificación y ofreció un botón para restablecer la contraseña. No se necesitó acceso al correo electrónico de la víctima.

Falla de WP Maps Pro de WordPress explotada para crear cuentas de administrador

CVE-2026-8732 en WP Maps Pro permite a atacantes no autenticados crear cuentas de administrador en más de 15,000 sitios de WordPress. Wordfence bloqueó 2,858 ataques en 24 horas.