Fallo de WP Maps Pro de WordPress explotado para crear cuentas de administrador

      TL;DRA vulnerabilidad crítica (CVE-2026-8732, CVSS 9.8) en el plugin WP Maps Pro de WordPress permite a atacantes no autenticados crear cuentas de administrador y tomar el control de los sitios. Wordfence bloqueó 2,858 intentos de explotación en 24 horas, con la falla corregida en la versión 6.1.1.

      Una vulnerabilidad crítica en WP Maps Pro, un plugin comercial de WordPress con más de 15,000 ventas en el mercado de Envato, está siendo explotada activamente por atacantes para crear cuentas de administrador maliciosas en sitios vulnerables. La falla, rastreada como CVE-2026-8732 con una puntuación CVSS de 9.8, permite a usuarios no autenticados obtener control administrativo total de cualquier instalación de WordPress que ejecute una versión no corregida del plugin.

      Wordfence, que descubrió la campaña de explotación, informó haber bloqueado 2,858 ataques dirigidos a la vulnerabilidad en las 24 horas previas a su divulgación. La falla afecta todas las versiones de WP Maps Pro hasta e incluyendo la 6.1.0 y fue corregida en la versión 6.1.1, lanzada el 20 de mayo de 2026. El investigador de seguridad David Brown es acreditado con el descubrimiento y la denuncia del problema.

      Cómo funciona la explotación

      WP Maps Pro incluye una función de "acceso temporal" diseñada para permitir que el personal de soporte del plugin inicie sesión en el sitio de un cliente durante la resolución de problemas. La función expone una acción AJAX llamada "wpgmp_temp_access_ajax" que puede crear un nuevo usuario de WordPress con privilegios de administrador. La arquitectura de seguridad detrás de la función era fundamentalmente defectuosa: la acción estaba registrada con el gancho "wp_ajax_nopriv_" de WordPress, lo que significa que podía ser llamada por visitantes no autenticados.

      La única protección era una verificación de nonce, un token destinado a prevenir el ataque de falsificación de solicitudes entre sitios. Pero el nonce estaba incrustado públicamente en cada página del frontend del sitio a través del objeto JavaScript "wpgmp_local", lo que lo hacía inútil como mecanismo de control de acceso. Cualquier visitante podía leer el nonce desde el código fuente de la página y usarlo para invocar la función.

      💜 de la tecnología de la UE

      Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora!

      Un atacante que llama al endpoint con el parámetro "check_temp=false" activa la función "wpgmp_temp_access_support()", que crea incondicionalmente un nuevo usuario de WordPress con el rol codificado de administrador y devuelve una URL de inicio de sesión mágica. Visitar esa URL llama a "wp_set_auth_cookie()" para autenticar completamente al atacante como el nuevo administrador creado. Toda la cadena, desde la solicitud no autenticada hasta la toma de control total del sitio, no requiere credenciales, ni ingeniería social, ni acceso previo.

      El plugin y su alcance

      WP Maps Pro permite a los propietarios de sitios incrustar vistas personalizables de Google Maps y OpenStreetMap con marcadores, listados y características avanzadas de ubicación. Se utiliza comúnmente como una herramienta de localización de tiendas para negocios que necesitan ayudar a los usuarios a encontrar ubicaciones cercanas, ver detalles y obtener direcciones. El plugin se vende a través del mercado de Envato (CodeCanyon), no a través del directorio oficial de plugins de WordPress, lo que significa que las actualizaciones no se distribuyen a través del mecanismo estándar de autoactualización de WordPress.

      Ese modelo de distribución crea un riesgo particular. Los propietarios de sitios que compraron el plugin pueden no recibir notificaciones automáticas sobre la actualización de seguridad, y muchas instalaciones de WordPress son mantenidas por usuarios no técnicos o agencias que no monitorean las divulgaciones de vulnerabilidades. A diferencia de la infraestructura de cibercrimen a gran escala que las fuerzas del orden pueden atacar con incautaciones de servidores, las vulnerabilidades de los plugins de WordPress son explotadas a través de campañas de escaneo distribuidas y automatizadas que son difíciles de interrumpir.

      Qué deben hacer los propietarios de sitios

      El parche en la versión 6.1.1 restringe el endpoint de acceso temporal solo a administradores autenticados. Los propietarios de sitios que ejecutan WP Maps Pro deben actualizar de inmediato. Aquellos que no pueden actualizar deben desactivar el plugin hasta que puedan aplicar el parche. Comprobar si hay cuentas de administrador inesperadas en la lista de usuarios de WordPress es un primer paso práctico para determinar si un sitio ya ha sido comprometido.

      La vulnerabilidad es un ejemplo de libro de texto de un patrón que se repite en todo el ecosistema de WordPress: una función de soporte o depuración que otorga privilegios elevados, protegida por un mecanismo de seguridad que en realidad no restringe el acceso. Los programas de divulgación de vulnerabilidades y los investigadores de seguridad como Brown juegan un papel crítico en la detección de estos fallos antes de que causen daños generalizados, pero los 2,858 ataques bloqueados en un solo día demuestran que la ventana entre la divulgación y la explotación ahora se mide en horas, no en semanas.

Otros artículos

Los hackers secuestraron cuentas de Instagram pidiendo al propio chatbot de IA de Meta que restableciera la contraseña. Los hackers secuestraron cuentas de Instagram pidiendo al propio chatbot de IA de Meta que restableciera la contraseña. El bot de soporte de IA agregó el correo electrónico de un hacker, envió un código de verificación y ofreció un botón para restablecer la contraseña. No se necesitó acceso al correo electrónico de la víctima. Apple se prepara para el divisor de cuentas con escaneo de recibos para iOS 27 Apple planea una función de división de cuentas en iOS 27 que fotografía recibos, asigna artículos a amigos y genera solicitudes de Apple Cash, desafiando a Splitwise y Venmo. La participación de Anthropic de Salesforce alcanza los $5 mil millones antes de la presentación de la OPI. La participación de Anthropic de Salesforce alcanza los $5 mil millones antes de la presentación de la OPI. Salesforce convirtió una apuesta temprana de $50 millones en Anthropic en una participación de $5 mil millones, que ahora representa dos tercios de su cartera estratégica total, mientras el creador de Claude presenta su solicitud de IPO con una valoración de $965 mil millones. Tencent permite a los usuarios de PayPal pagar a través de códigos QR de WeChat en China Tencent permite a los usuarios de PayPal pagar a través de códigos QR de WeChat en China Los usuarios de PayPal ahora pueden escanear códigos QR de WeChat Pay en la red de comerciantes de China, eliminando el mayor punto de fricción para los turistas extranjeros en un país donde el efectivo ha desaparecido. IBM se dispara un 30% mientras Barclays llama a su software el antídoto de la SaaSpocalipsis. IBM se dispara un 30% mientras Barclays llama a su software el antídoto de la SaaSpocalipsis. Barclays inició a IBM con una calificación de sobreponderado y un objetivo de $350, diciendo que su software de infraestructura es inmune a la disrupción de la IA. Las acciones subieron un 30% en mayo por compromisos cuánticos. Apple se prepara para el divisor de cuentas con escaneo de recibos para iOS 27 Apple se prepara para el divisor de cuentas con escaneo de recibos para iOS 27 Apple planea una función de división de cuentas en iOS 27 que fotografía recibos, asigna artículos a amigos y genera solicitudes de Apple Cash, desafiando a Splitwise y Venmo.

Fallo de WP Maps Pro de WordPress explotado para crear cuentas de administrador

CVE-2026-8732 en WP Maps Pro permite a atacantes no autenticados crear cuentas de administrador en más de 15,000 sitios de WordPress. Wordfence bloqueó 2,858 ataques en 24 horas.