Уязвимость WP Maps Pro WordPress использована для создания учетных записей администраторов

      TL;DRA критическая уязвимость (CVE-2026-8732, CVSS 9.8) в плагине WP Maps Pro для WordPress позволяет неаутентифицированным злоумышленникам создавать учетные записи администраторов и захватывать сайты. Wordfence заблокировал 2,858 попыток эксплуатации за 24 часа, уязвимость была исправлена в версии 6.1.1.

      Критическая уязвимость в WP Maps Pro, коммерческом плагине для WordPress с более чем 15,000 продаж на Envato Market, активно используется злоумышленниками для создания вредоносных учетных записей администраторов на уязвимых сайтах. Уязвимость, отслеживаемая как CVE-2026-8732 с оценкой CVSS 9.8, позволяет неаутентифицированным пользователям получить полный административный контроль над любой установкой WordPress, работающей на неисправленной версии плагина.

      Wordfence, который обнаружил кампанию эксплуатации, сообщил о блокировке 2,858 атак, нацеленных на уязвимость, в 24 часа до ее раскрытия. Уязвимость затрагивает все версии WP Maps Pro до и включая 6.1.0 и была исправлена в версии 6.1.1, выпущенной 20 мая 2026 года. Исследователь безопасности Дэвид Браун был признан за обнаружение и сообщение о проблеме.

      Как работает эксплойт

      WP Maps Pro включает функцию «временного доступа», предназначенную для того, чтобы сотрудники поддержки плагина могли войти на сайт клиента во время устранения неполадок. Эта функция открывает AJAX-действие под названием «wpgmp_temp_access_ajax», которое может создать нового пользователя WordPress с правами администратора. Архитектура безопасности, стоящая за этой функцией, была изначально ошибочной: действие было зарегистрировано с помощью хука «wp_ajax_nopriv_» WordPress, что означало, что его могли вызывать неаутентифицированные посетители.

      Единственной защитой была проверка nonce, токена, предназначенного для предотвращения подделки межсайтовых запросов. Но nonce был публично встроен на каждую страницу фронтенда сайта через объект JavaScript «wpgmp_local», что делало его бесполезным в качестве механизма контроля доступа. Любой посетитель мог прочитать nonce из исходного кода страницы и использовать его для вызова функции. 💜 технологий ЕС

      Последние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Злоумышленник, который вызывает конечную точку с параметром «check_temp=false», запускает функцию «wpgmp_temp_access_support()», которая безусловно создает нового пользователя WordPress с жестко закодированной ролью администратора и возвращает магическую ссылку для входа. Посещение этой ссылки вызывает «wp_set_auth_cookie()», чтобы полностью аутентифицировать злоумышленника как вновь созданного администратора. Вся цепочка, от неаутентифицированного запроса до полного захвата сайта, не требует никаких учетных данных, социальной инженерии и предварительного доступа.

      Плагин и его охват

      WP Maps Pro позволяет владельцам сайтов встраивать настраиваемые виды Google Maps и OpenStreetMap с маркерами, списками и расширенными функциями местоположения. Он обычно используется как инструмент для поиска магазинов для бизнеса, который помогает пользователям находить ближайшие места, просматривать детали и получать указания. Плагин продается через Envato Market (CodeCanyon), а не через официальный каталог плагинов WordPress, что означает, что обновления не распространяются через стандартный механизм автоматического обновления WordPress.

      Эта модель распространения создает определенный риск. Владельцы сайтов, купившие плагин, могут не получать автоматические уведомления об обновлении безопасности, и многие установки WordPress поддерживаются не техническими пользователями или агентствами, которые не следят за раскрытием уязвимостей. В отличие от инфраструктуры киберпреступности крупного масштаба, которую правоохранительные органы могут нацелить на изъятие серверов, уязвимости плагинов WordPress эксплуатируются через распределенные, автоматизированные сканирующие кампании, которые трудно нарушить.

      Что должны делать владельцы сайтов

      Исправление в версии 6.1.1 ограничивает конечную точку временного доступа только для аутентифицированных администраторов. Владельцы сайтов, использующие WP Maps Pro, должны немедленно обновить плагин. Те, кто не может обновить, должны отключить плагин, пока не смогут применить исправление. Проверка на наличие неожиданных учетных записей администраторов в списке пользователей WordPress является практическим первым шагом для определения того, был ли сайт уже скомпрометирован.

      Уязвимость является классическим примером шаблона, который повторяется в экосистеме WordPress: функция поддержки или отладки, которая предоставляет повышенные привилегии, защищенная механизмом безопасности, который на самом деле не ограничивает доступ. Программы раскрытия уязвимостей и исследователи безопасности, такие как Браун, играют критическую роль в выявлении этих недостатков до того, как они причинят широкомасштабный ущерб, но 2,858 атак, заблокированных за один день, демонстрируют, что окно между раскрытием и эксплуатацией теперь измеряется часами, а не неделями.