Los actores de amenazas están explotando activamente una falla de seguridad crítica que afecta a WP Maps Pro, un complemento de WordPress con más de 15.000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios susceptibles.
WP Maps Pro permite a los propietarios de sitios incorporar Google Maps y OpenStreetMap personalizables con marcadores, listas y funciones de ubicación avanzadas en sus sitios de WordPress. Se utiliza como herramienta de localización de tiendas, lo que facilita a los usuarios encontrar tiendas cercanas, ver detalles de listados y obtener direcciones.
La vulnerabilidad en cuestión es CVE-2026-8732 (puntuación CVSS: 9,8), un error de escalada de privilegios que permite a un atacante no autenticado crear un usuario de WordPress con privilegios administrativos y tomar el control del sitio de manera efectiva.
Este inconveniente afecta a todas las versiones del complemento anteriores a la 6.1.0. Este problema se resolvió en la versión 6.1.1. Al investigador de seguridad David Brown se le atribuye el descubrimiento y el informe de esta falla.
En términos generales, el problema se debe a una función de «acceso temporal» diseñada para permitir que el personal de soporte inicie sesión en el sitio de un cliente mientras soluciona el problema. Este proceso permite que un usuario no autenticado llame a la función «wpgmp_temp_access_support()» sin las comprobaciones adecuadas, lo que en última instancia permite la creación de un usuario administrador.
«Esto se debe a que la acción wpgmp_temp_access_ajax AJAX está registrada en wp_ajax_nopriv_ y solo está protegida por una verificación nonce usando el nonce fc-call-nonce. Este nonce se pasa a todas las interfaces a través de wp_localize_script como el campo nonce del objeto JavaScript wpgmp_local. Está incrustado públicamente en la página y la verificación está deshabilitada como mecanismo de control de acceso», dijo Wordfence.
«Esto permite que un atacante no autenticado llame al controlador wpgmp_temp_access_support con check_temp=false. Esto creará incondicionalmente un nuevo usuario de WordPress con una función de administrador codificada a través de wp_insert_user() y, una vez accedida, se devuelve una URL de inicio de sesión mágica que llama a wp_set_auth_cookie() para autenticar completamente al atacante como el administrador recién creado, lo que resulta en una toma completa del sitio».
Un parche publicado por el administrador del complemento el 20 de mayo de 2026 resuelve la vulnerabilidad al permitir que solo los administradores autenticados accedan al punto final.
Sin embargo, desde entonces la falla de seguridad ha sido explotada activamente, y Wordfence anunció que ha bloqueado 2.858 ataques dirigidos a este problema en las últimas 24 horas. Por lo tanto, es esencial que los propietarios de sitios actualicen sus instancias a la última versión para una protección óptima.
Source link
