A vulnerabilidade CVE-2026-8732 (CVSS de 9.8) do plugin WP Maps Pro permite que atacantes não autenticados criem contas administrativas e assumam o controle total de sites WordPress afetados, conforme alerta publicado ontem pela empresa de segurança Defiant. A empresa afirma ter bloqueado mais de 1.700 ataques direcionados a essa falha nas últimas 24 horas.
O WP Maps Pro é um plugin que permite a administradores incorporar Google Maps em sites WordPress com recursos avançados. A vulnerabilidade existe em uma função AJAX de retorno de chamada usada para gerar acesso temporário ao site para operações de suporte do fornecedor, segundo a Defiant.
A função é protegida apenas por uma verificação de nonce (número usado uma única vez). No entanto, o nonce está incorporado em todas as páginas do frontend e exposto a qualquer usuário não autenticado, tornando a verificação ineficaz, explicou a empresa. Além disso, o plugin não inclui verificações de capacidade, permitindo que atacantes invoquem a ação AJAX com o parâmetro check_temp definido como false.
Criação de usuário admin e URL mágica
O atacante consegue criar um novo usuário WordPress com função de administrador, gerado com nome de usuário aleatório e endereço de e-mail fixo. A função também gera uma URL mágica de login e a retorna ao atacante, que pode usá-la para autenticar-se sem senha ou verificação adicional.
“Como resultado, um atacante obtém controle total de nível administrativo sobre o site e pode instalar plugins maliciosos, modificar temas, injetar backdoors, exfiltrar dados ou implantar web shells para acesso persistente”, detalhou a Defiant.
A vulnerabilidade foi corrigida na versão 6.1.1 do WP Maps Pro, que adiciona uma verificação de capacidade para restringir o acesso a administradores autenticados. Administradores de sites que utilizam o plugin devem atualizar imediatamente para a versão corrigida.






