Критическая уязвимость CVE-2026-8732 (CVSS 9.8) в WordPress-плагине WP Maps Pro активно эксплуатируется злоумышленниками для создания учётных записей с правами администратора на уязвимых сайтах. Плагин, предназначенный для встраивания интерактивных карт Google Maps и OpenStreetMap, продан более 15 000 раз через Envato Market. Уязвимость затрагивает все версии до 6.1.0 включительно и устранена в версии 6.1.1. По данным Wordfence, за последние 24 часа заблокировано 2 858 атак, направленных на эту уязвимость, — владельцам сайтов с этим плагином необходимо немедленно обновиться.
Техническая суть уязвимости
Корень проблемы — функция «временного доступа», предназначенная для того, чтобы сотрудники технической поддержки могли авторизоваться на сайте клиента в процессе устранения неполадок. Как сообщают исследователи Wordfence, реализация этой функции содержит критический архитектурный дефект: AJAX-обработчик wpgmp_temp_access_ajax зарегистрирован с хуком wp_ajax_nopriv_, что делает его доступным для неаутентифицированных пользователей.
Единственный механизм защиты — проверка nonce-токена fc-call-nonce, однако этот токен публично встроен в каждую страницу фронтенда через wp_localize_script как поле объекта wpgmp_local. Таким образом, проверка nonce не выполняет функцию контроля доступа — любой посетитель сайта может извлечь токен из исходного кода страницы.
Цепочка эксплуатации выглядит следующим образом:
- Атакующий получает nonce-токен из публичного JavaScript-объекта на любой странице сайта
- Отправляет AJAX-запрос к обработчику
wpgmp_temp_access_supportс параметромcheck_temp=false - Функция безусловно создаёт нового пользователя WordPress с жёстко заданной ролью администратора через
wp_insert_user() - Сервер возвращает «магическую» ссылку для входа, при переходе по которой вызывается
wp_set_auth_cookie(), полностью аутентифицируя атакующего как администратора
Результат — полный захват сайта без необходимости знать какие-либо учётные данные. Оценка CVSS 9.8 отражает критичность: удалённый вектор атаки, отсутствие требований к аутентификации, низкая сложность эксплуатации.
Масштаб угрозы и активная эксплуатация
По данным телеметрии Wordfence, уязвимость уже находится под активной эксплуатацией. За 24 часа компания зафиксировала и заблокировала 2 858 атак, нацеленных на данную уязвимость. Следует учитывать, что эти цифры отражают только трафик, проходящий через инфраструктуру Wordfence, — реальное количество попыток эксплуатации может быть значительно выше.
WP Maps Pro — коммерческий плагин, распространяемый через Envato Market (CodeCanyon), а не через официальный репозиторий WordPress.org. Это создаёт дополнительный фактор риска: коммерческие плагины с Envato не поддерживают автоматическое обновление через стандартный механизм WordPress, что означает, что многие владельцы сайтов могут не знать о доступности патча и не получить уведомление об обновлении.
Плагин используется преимущественно как инструмент поиска магазинов и точек обслуживания, что делает его типичным для сайтов розничных сетей, сервисных компаний и организаций с физическими точками присутствия.
Оценка воздействия
Успешная эксплуатация CVE-2026-8732 предоставляет атакующему полные административные права на WordPress-сайте. Это открывает возможности для:
- Внедрения вредоносного кода и перенаправлений на фишинговые ресурсы
- Кражи данных из базы WordPress, включая персональные данные пользователей и клиентов
- Использования скомпрометированного сайта как плацдарма для дальнейших атак
- Размещения веб-шеллов для сохранения постоянного доступа даже после обновления плагина
- Полного уничтожения или подмены контента сайта
Особую опасность представляет тот факт, что механизм эксплуатации тривиален и не требует специализированных инструментов — достаточно стандартного HTTP-запроса с nonce-токеном, доступным на любой странице сайта.
Рекомендации по реагированию
Немедленное обновление: установите WP Maps Pro версии 6.1.1 или выше. Патч, выпущенный 20 мая 2026 года, ограничивает доступ к уязвимому эндпоинту только аутентифицированными администраторами.
Проверка на компрометацию: если обновление не было выполнено оперативно, необходимо проверить список пользователей WordPress на наличие неизвестных учётных записей с ролью администратора. Особое внимание следует обратить на аккаунты, созданные после публичного раскрытия уязвимости.
Дополнительные меры для уже скомпрометированных сайтов:
- Удалите все неизвестные учётные записи администраторов
- Проверьте файловую систему на наличие веб-шеллов и модифицированных файлов ядра WordPress
- Смените пароли всех существующих администраторов и обновите секретные ключи в
wp-config.php - Проверьте наличие запланированных задач (WP-Cron) и неизвестных плагинов, которые могли быть установлены атакующим
- Рассмотрите восстановление из резервной копии, созданной до начала эксплуатации
Учитывая активную эксплуатацию и критический уровень CVSS 9.8, обновление WP Maps Pro до версии 6.1.1 должно быть выполнено в приоритетном порядке — в течение часов, а не дней. Владельцам сайтов, которые приобрели плагин через Envato Market, необходимо вручную загрузить обновлённую версию и установить её, поскольку автоматическая доставка обновлений для таких плагинов, как правило, не предусмотрена. Если немедленное обновление невозможно, временной мерой может служить деактивация плагина до момента установки патча.
