Napadači iskorištavaju propust u WP Maps Pro dodatku za WordPress i stvaraju administratorske račune

Napadači ciljaju WordPress stranice koje koriste ranjivu verziju dodatka WP Maps Pro, a propust im omogućuje stvaranje lažnih administratorskih računa bez autentifikacije. Riječ je o kritično ocijenjenoj ranjivosti označenoj kao CVE-2026-8732, koja zahvaća verzije WP Maps Pro 6.1.0 i starije. Propust je otkrio i prijavio sigurnosni istraživač David Brown.

WP Maps Pro je premium WordPress dodatak za izradu interaktivnih i prilagodljivih karata te lokatora trgovina. Podržava više pružatelja karata, među kojima su Google Maps i OpenStreetMap. Prema navodima o proizvodu, koristi ga više od 15.800 kupnji na Envato Marketu, a često je namijenjen poslovnim stranicama, nekretninama, turističkim stranicama, imenicima i organizacijama koje trebaju prikaz više lokacija na karti.

Ranjivost je povezana s funkcijom privremenog pristupa, zamišljenom tako da djelatnicima dobavljača omogući pristup korisničkim stranicama radi otklanjanja poteškoća. Brown je utvrdio da je AJAX endpoint za tu funkciju bio dostupan neautentificiranim korisnicima i da se oslanjao isključivo na nonce provjeru izloženom u frontend JavaScriptu, što je zaštitu činilo neučinkovitom. Takav zahtjev može pokrenuti kod koji stvara novog WordPress korisnika, dodjeljuje mu administratorsku ulogu, generira URL za prijavu bez lozinke i šalje ga udaljenom sustavu.

Istraživači iz sigurnosne tvrtke Defiant navode da napadači već pokušavaju iskorištavati propust te su u posljednja 24 sata blokirali više od 3.600 pokušaja. Kada napadač otvori generirani URL, automatski se autentificira na novostvoreni administratorski račun, bez lozinke ili bilo kakve druge provjere. U praksi to znači da napadač s administratorskim pristupom može umetnuti trajna stražnja vrata, mijenjati sadržaj, pristupati privatnim podacima, postavljati web-shellove, instalirati zlonamjerne dodatke i preuzeti nadzor nad web-stranicom.

Brown je propust prijavio Wordfenceu 24. ožujka, a dobavljač je obaviješten 16. svibnja nakon provjere iskorištavanja. Popravak za CVE-2026-8732 objavljen je 20. svibnja u verziji WP Maps Pro 6.1.1. Administratori web-stranica preporučeno je da dodatke ažuriraju što prije, jer je zlonamjerna aktivnost već zabilježena.