В популярном плагине WP Maps Pro для WordPress обнаружили критическую уязвимость, которую злоумышленники уже начали эксплуатировать в реальных атаках. Баг позволяет без какой-либо аутентификации создать на сайте учетную запись администратора и фактически получить полный контроль над ресурсом.

Уязвимость получила идентификатор CVE-2026-8732 и 9,8 балла по шкале CVSS. Она затрагивает все версии WP Maps Pro до 6.1.0 включительно.

WP Maps Pro — коммерческий плагин для WordPress, который используют для встраивания на сайты карт Google Maps и OpenStreetMap, а также создания локаторов магазинов и каталогов точек продаж.

Проблему обнаружил ИБ-исследователь Дэвид Браун (David Brown). Он объясняет, что корень бага кроется в функции временного доступа для техподдержки. Эта функция предназначена для случаев, когда специалисты разработчика должны получить доступ к сайту клиента для диагностики проблем.

Однако реализация удаленного доступа оказалась небезопасной. Специальный AJAX-эндпоинт был доступен неавторизованным пользователям и защищался только nonce-токеном, который фактически публиковался на всех страницах сайта посредством jаvascript. В результате проверка не обеспечивала никакого реального контроля доступа.

Для эксплуатации CVE-2026-8732 атакующему было достаточно отправить специально сформированный запрос с параметром check_temp=false. После этого плагин автоматически создавал нового пользователя WordPress с жестко заданной ролью администратора, генерировал для него magic-ссылку для входа и возвращал ее в ответе.

Когда злоумышленник переходил по такой ссылке, WordPress автоматически авторизовал пользователя с новой учетной записью. Ни пароль, ни какие-либо дополнительные проверки при этом не требовались.

Получив права администратора, атакующий мог устанавливать вредоносные плагины, размещать веб-шеллы, внедрять бэкдоры, похищать данные пользователей или полностью перехватывать управление сайтом.

Разработчики плагина устранили уязвимость 20 мая 2026 года с релизом версии 6.1.1. Патч ограничил доступ к проблемному эндпоинту и разрешил использовать его только авторизованным администраторам.

Однако к моменту выхода патча проблема уже попала в поле зрения злоумышленников. В компании Wordfence сообщили, что всего за сутки они заблокировали около 2858 попыток эксплуатации CVE-2026-8732. В свою очередь специалисты Defiant зафиксировали более 3600 атак на уязвимые сайты за тот же период.

Администраторам сайтов под управлением WordPress рекомендуют как можно скорее обновить WP Maps Pro до версии 6.1.1 или новее. Учитывая, что эксплуатация бага уже началась, откладывать установку патча не стоит.