Threat actors estão tentando explorar ativamente uma falha crítica de segurança que afeta o WP Maps Pro, um plugin para WordPress que ultrapassou 15.000 vendas no Envato Market, para criar contas de administrador maliciosas em sites vulneráveis.
A vulnerabilidade, identificada como
CVE-2026-8732
, tem pontuação CVSS de 9,8 e afeta todas as versões do plugin anteriores e inclusive a 6.1.0. O problema foi corrigido na versão 6.1.1.
O pesquisador de segurança David Brown recebeu crédito por descobrir e relatar a falha.
O WP Maps Pro permite que donos de sites incorporem mapas personalizáveis do Google Maps e do OpenStreetMap em páginas WordPress, com marcadores, listas e recursos avançados de localização. Ele também é usado como ferramenta de localizador de lojas, facilitando que usuários encontrem unidades próximas, vejam detalhes de estabelecimentos e obtenham rotas.
Em termos gerais, o problema está em um recurso de “acesso temporário” projetado para permitir que a equipe de suporte acesse o site de um cliente durante a solução de problemas.
Como esse processo permite que usuários sem autenticação invoquem a função `wpgmp_temp_access_support()` sem verificações adequadas, o resultado é a criação de um usuário administrador. A falha é um bug de escalonamento de privilégios que permite a atacantes sem autenticação criar um usuário do WordPress com permissões de administrador, o que na prática dá controle total do site.
“Isso ocorre porque a ação AJAX `wpgmp_temp_access_ajax` foi registrada com `wp_ajax_nopriv_` e protegida apenas por uma verificação de nonce usando o nonce `fc-call-nonce`, que é incorporado publicamente em cada página do frontend por meio de `wp_localize_script` como o campo nonce do objeto JavaScript `wpgmp_local`, tornando a verificação ineficaz como mecanismo de controle de acesso”, informou a Wordfence.
“Isso torna possível que atacantes sem autenticação invoquem o manipulador `wpgmp_temp_access_support` com `check_temp=false`, o que cria de forma automática um novo usuário do WordPress com a função hardcoded de administrador via `wp_insert_user()` e retorna uma URL mágica de login que, ao ser acessada, chama `wp_set_auth_cookie()` para autenticar totalmente o atacante como o novo administrador criado, resultando na tomada completa do site.”
Na prática, isso permite o envio de uma requisição especialmente criada para acionar um código que cria um novo usuário no WordPress, atribui a ele a função de administrador, gera uma URL de login sem senha e a envia a um sistema remoto. Quando o atacante acessa essa URL, ele é autenticado automaticamente na conta de administrador recém-criada, sem necessidade de senha ou qualquer outra verificação.
Pesquisadores da empresa de segurança WordPress Defiant observaram que threat actors já estão tentando explorar a vulnerabilidade e bloquearam mais de 3.600 tentativas nas últimas 24 horas. A Wordfence, por sua vez, afirma ter bloqueado 2.858 ataques contra esse problema nas últimas 24 horas.
Brown reportou a falha à Wordfence em 24 de março, e o fornecedor foi notificado em 16 de maio, após a validação do exploit. Em 20 de maio, o WP Maps Pro 6.1.1 foi lançado com a correção da
CVE-2026-8732
.
Ter acesso de nível administrativo ao site significa que atacantes podem inserir backdoors persistentes, modificar conteúdo, acessar dados privados, implantar web shells, instalar plugins maliciosos e assumir o controle do site.
Administradores de sites são recomendados a atualizar os plugins o quanto antes, já que atividade maliciosa já foi observada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...