Vulnerabilità di WP Maps Pro di WordPress sfruttata per creare account admin

      TL;DRA vulnerabilità critica (CVE-2026-8732, CVSS 9.8) nel plugin WP Maps Pro per WordPress consente a attaccanti non autenticati di creare account admin e prendere il controllo dei siti. Wordfence ha bloccato 2.858 tentativi di sfruttamento in 24 ore, con la vulnerabilità corretta nella versione 6.1.1.

      Una vulnerabilità critica in WP Maps Pro, un plugin commerciale per WordPress con oltre 15.000 vendite su Envato Market, è attivamente sfruttata dagli attaccanti per creare account amministratore malevoli su siti vulnerabili. La vulnerabilità, tracciata come CVE-2026-8732 con un punteggio CVSS di 9.8, consente a utenti non autenticati di ottenere il pieno controllo amministrativo di qualsiasi installazione di WordPress che esegue una versione non corretta del plugin.

      Wordfence, che ha scoperto la campagna di sfruttamento, ha riportato di aver bloccato 2.858 attacchi mirati alla vulnerabilità nelle 24 ore precedenti alla sua divulgazione. La vulnerabilità colpisce tutte le versioni di WP Maps Pro fino e inclusa la 6.1.0 ed è stata corretta nella versione 6.1.1, rilasciata il 20 maggio 2026. Il ricercatore di sicurezza David Brown è accreditato per aver scoperto e segnalato il problema.

      Come funziona lo sfruttamento

      WP Maps Pro include una funzione di “accesso temporaneo” progettata per consentire al personale di supporto del plugin di accedere al sito di un cliente durante la risoluzione dei problemi. La funzione espone un'azione AJAX chiamata “wpgmp_temp_access_ajax” che può creare un nuovo utente WordPress con privilegi di amministratore. L'architettura di sicurezza dietro la funzione era fondamentalmente difettosa: l'azione era registrata con il hook “wp_ajax_nopriv_” di WordPress, il che significa che poteva essere chiamata da visitatori non autenticati.

      L'unica protezione era un controllo nonce, un token destinato a prevenire il furto di richieste cross-site. Ma il nonce era incorporato pubblicamente in ogni pagina frontend del sito tramite l'oggetto JavaScript “wpgmp_local”, rendendolo inutile come meccanismo di controllo degli accessi. Qualsiasi visitatore poteva leggere il nonce dal sorgente della pagina e usarlo per invocare la funzione.

      Un attaccante che chiama l'endpoint con il parametro “check_temp=false” attiva la funzione “wpgmp_temp_access_support()”, che crea incondizionatamente un nuovo utente WordPress con il ruolo hardcoded di amministratore e restituisce un URL di accesso magico. Visitando quell'URL si chiama “wp_set_auth_cookie()” per autenticare completamente l'attaccante come il nuovo admin creato. L'intera catena, dalla richiesta non autenticata al completo controllo del sito, non richiede credenziali, ingegneria sociale o accesso precedente.

      Il plugin e la sua portata

      WP Maps Pro consente ai proprietari di siti di incorporare mappe Google e OpenStreetMap personalizzabili con marcatori, elenchi e funzionalità avanzate di localizzazione. È comunemente utilizzato come strumento di ricerca negozi per le aziende che devono aiutare gli utenti a trovare luoghi vicini, visualizzare dettagli e ottenere indicazioni. Il plugin è venduto tramite Envato Market (CodeCanyon), non tramite la directory ufficiale dei plugin di WordPress, il che significa che gli aggiornamenti non vengono distribuiti tramite il meccanismo di aggiornamento automatico standard di WordPress.

      Quel modello di distribuzione crea un rischio particolare. I proprietari di siti che hanno acquistato il plugin potrebbero non ricevere notifiche automatiche riguardo all'aggiornamento di sicurezza, e molte installazioni di WordPress sono mantenute da utenti non tecnici o agenzie che non monitorano le divulgazioni di vulnerabilità. A differenza delle infrastrutture di crimine informatico su larga scala che le forze dell'ordine possono colpire con sequestri di server, le vulnerabilità dei plugin di WordPress vengono sfruttate attraverso campagne di scansione distribuite e automatizzate che sono difficili da interrompere.

      Cosa dovrebbero fare i proprietari di siti

      La patch nella versione 6.1.1 limita l'endpoint di accesso temporaneo solo agli amministratori autenticati. I proprietari di siti che eseguono WP Maps Pro dovrebbero aggiornare immediatamente. Coloro che non possono aggiornare dovrebbero disabilitare il plugin fino a quando non possono applicare la patch. Controllare la presenza di account amministratore inaspettati nell'elenco utenti di WordPress è un primo passo pratico per determinare se un sito è già stato compromesso.

      La vulnerabilità è un esempio da manuale di un modello che si ripete nell'ecosistema di WordPress: una funzione di supporto o debug che concede privilegi elevati, protetta da un meccanismo di sicurezza che in realtà non limita l'accesso. I programmi di divulgazione delle vulnerabilità e i ricercatori di sicurezza come Brown svolgono un ruolo fondamentale nel catturare questi difetti prima che causino danni diffusi, ma i 2.858 attacchi bloccati in un solo giorno dimostrano che la finestra tra divulgazione e sfruttamento è ora misurata in ore, non in settimane.

Altri articoli

Gli hacker hanno dirottato gli account Instagram chiedendo al chatbot AI di Meta di reimpostare la password. Gli hacker hanno dirottato gli account Instagram chiedendo al chatbot AI di Meta di reimpostare la password. Il bot di supporto AI ha aggiunto l'email di un hacker, inviato un codice di verifica e offerto un pulsante per il reset della password. Non era necessario avere accesso all'email della vittima. GoPro ha avvertito che potrebbe non sopravvivere. La crisi della memoria AI sta uccidendo le aziende che producono oggetti che le persone tengono in mano. GoPro ha avvertito che potrebbe non sopravvivere. La crisi della memoria AI sta uccidendo le aziende che producono oggetti che le persone tengono in mano. I prezzi della memoria sono aumentati dell'80-115%. I ricavi sono diminuiti del 26%. GoPro ha avvertito di avere "dubbi sostanziali" sulla sua capacità di continuare. Sta esplorando una vendita o un cambiamento verso la difesa. Asus ROG Ally X riceve un restyling speciale con un pannello OLED e finiture dorate che non sembrano pacchiane. Asus ROG Ally X riceve un restyling speciale con un pannello OLED e finiture dorate che non sembrano pacchiane. L'edizione anniversario porta per la prima volta OLED nella gamma Ally con un pannello da 7,4 pollici a 120Hz e 1.400 nit, AMD Ryzen AI Z2 Extreme e joystick TMR. La partecipazione di Salesforce in Anthropic raggiunge i 5 miliardi di dollari prima della registrazione per l'IPO. La partecipazione di Salesforce in Anthropic raggiunge i 5 miliardi di dollari prima della registrazione per l'IPO. Salesforce ha trasformato una scommessa iniziale di 50 milioni di dollari su Anthropic in una partecipazione da 5 miliardi di dollari, ora due terzi del suo intero portafoglio strategico, mentre il produttore di Claude presenta domanda per un'IPO con una valutazione di 965 miliardi di dollari. Servizio cheat di GTA V Atlas Menu hackerato, 64.000 account esposti Servizio cheat di GTA V Atlas Menu hackerato, 64.000 account esposti Atlas Menu, un servizio di cheat per GTA V che prometteva "maggiore privacy", è stato violato, esponendo 64.000 account con email, password e indirizzi IP pubblicati su GitHub. L'ex CTO di Meta raccoglie 250 milioni di dollari per un fondo climatico mentre la domanda di energia per l'IA aumenta. L'ex CTO di Meta raccoglie 250 milioni di dollari per un fondo climatico mentre la domanda di energia per l'IA aumenta. Il Gigascale Capital di Mike Schroepfer raccoglie 250 milioni di dollari per startup nel settore energetico e climatico, scommettendo che le esigenze di potenza dell'IA faranno della tecnologia pulita i veri vincitori del boom dell'IA.

Vulnerabilità di WP Maps Pro di WordPress sfruttata per creare account admin

CVE-2026-8732 in WP Maps Pro consente a attaccanti non autenticati di creare account admin su oltre 15.000 siti WordPress. Wordfence ha bloccato 2.858 attacchi in 24 ore.