Критична вразливість CVE-2026-8732 (CVSS 9.8) у WordPress-плагіні WP Maps Pro активно експлуатується зловмисниками для створення облікових записів з правами адміністратора на вразливих сайтах. Плагін, призначений для вбудовування інтерактивних карт Google Maps та OpenStreetMap, продано понад 15 000 разів через Envato Market. Вразливість зачіпає всі версії до 6.1.0 включно і усунута у версії 6.1.1. За даними Wordfence, за останні 24 години заблоковано 2 858 атак, спрямованих на цю вразливість, — власникам сайтів із цим плагіном необхідно негайно оновитися.
Технічна суть вразливості
Корінь проблеми — функція «тимчасового доступу», призначена для того, щоб співробітники технічної підтримки могли авторизуватися на сайті клієнта в процесі усунення несправностей. Як повідомляють дослідники Wordfence, реалізація цієї функції містить критичний архітектурний дефект: AJAX-обробник wpgmp_temp_access_ajax зареєстрований з хуком wp_ajax_nopriv_, що робить його доступним для неавтентифікованих користувачів.
Єдиний механізм захисту — перевірка nonce-токена fc-call-nonce, однак цей токен публічно вбудований у кожну сторінку фронтенду через wp_localize_script як поле об’єкта wpgmp_local. Таким чином, перевірка nonce не виконує функцію контролю доступу — будь-який відвідувач сайту може отримати токен з вихідного коду сторінки.
Ланцюжок експлуатації виглядає так:
- Зловмисник отримує nonce-токен з публічного JavaScript-об’єкта на будь-якій сторінці сайту
- Надсилає AJAX-запит до обробника
wpgmp_temp_access_supportз параметромcheck_temp=false - Функція безумовно створює нового користувача WordPress із жорстко заданою роллю адміністратора через
wp_insert_user() - Сервер повертає «магічне» посилання для входу, при переході за яким викликається
wp_set_auth_cookie(), повністю автентифікуючи зловмисника як адміністратора
Результат — повне захоплення сайту без необхідності знати будь-які облікові дані. Оцінка CVSS 9.8 відображає критичність: віддалений вектор атаки, відсутність вимог до автентифікації, низька складність експлуатації.
Масштаби загрози та активна експлуатація
За даними телеметрії Wordfence, вразливість уже активно експлуатується. За 24 години компанія зафіксувала та заблокувала 2 858 атак, націлених на цю вразливість. Варто враховувати, що ці цифри відображають лише трафік, який проходить через інфраструктуру Wordfence, — реальна кількість спроб експлуатації може бути значно вищою.
WP Maps Pro — комерційний плагін, який поширюється через Envato Market (CodeCanyon), а не через офіційний репозиторій WordPress.org. Це створює додатковий фактор ризику: комерційні плагіни з Envato не підтримують автоматичне оновлення через стандартний механізм WordPress, що означає, що багато власників сайтів можуть не знати про наявність патча і не отримати сповіщення про оновлення.
Плагін переважно використовується як інструмент пошуку магазинів і точок обслуговування, що робить його типовим для сайтів роздрібних мереж, сервісних компаній та організацій із фізичними точками присутності.
Оцінка впливу
Успішна експлуатація CVE-2026-8732 надає зловмиснику повні адміністративні права на WordPress-сайті. Це відкриває можливості для:
- впровадження шкідливого коду та перенаправлень на фішингові ресурси
- крадіжки даних з бази WordPress, включно з персональними даними користувачів і клієнтів
- використання скомпрометованого сайту як плацдарму для подальших атак
- розміщення вебшелів для збереження постійного доступу навіть після оновлення плагіна
- повного знищення або підміни контенту сайту
Особливу небезпеку становить той факт, що механізм експлуатації тривіальний і не потребує спеціалізованих інструментів — достатньо стандартного HTTP-запиту з nonce-токеном, доступним на будь-якій сторінці сайту.
Рекомендації щодо реагування
Негайне оновлення: встановіть WP Maps Pro версії 6.1.1 або вище. Патч, випущений 20 травня 2026 року, обмежує доступ до вразливого ендпоінта лише автентифікованими адміністраторами.
Перевірка на компрометацію: якщо оновлення не було виконано оперативно, необхідно перевірити список користувачів WordPress на наявність невідомих облікових записів із роллю адміністратора. Особливу увагу слід звернути на акаунти, створені після публічного розкриття вразливості.
Додаткові заходи для вже скомпрометованих сайтів:
- видаліть усі невідомі облікові записи адміністраторів
- перевірте файлову систему на наявність вебшелів і модифікованих файлів ядра WordPress
- змініть паролі всіх наявних адміністраторів та оновіть секретні ключі у
wp-config.php - перевірте наявність запланованих завдань (WP-Cron) та невідомих плагінів, які могли бути встановлені зловмисником
- розгляньте можливість відновлення з резервної копії, створеної до початку експлуатації
З огляду на активну експлуатацію та критичний рівень CVSS 9.8, оновлення WP Maps Pro до версії 6.1.1 має бути виконане в пріоритетному порядку — упродовж годин, а не днів. Власникам сайтів, які придбали плагін через Envato Market, необхідно вручну завантажити оновлену версію та встановити її, оскільки автоматична доставка оновлень для таких плагінів, як правило, не передбачена. Якщо негайне оновлення неможливе, тимчасовим заходом може бути деактивація плагіна до моменту встановлення патча.
