La vulnerabilidad crítica CVE-2026-8732 (CVSS 9.8) en el plugin de WordPress WP Maps Pro está siendo explotada activamente por atacantes para crear cuentas con privilegios de administrador en sitios vulnerables. El plugin, diseñado para incrustar mapas interactivos de Google Maps y OpenStreetMap, se ha vendido más de 15 000 veces a través de Envato Market. La vulnerabilidad afecta a todas las versiones hasta la 6.1.0 incluida y se ha corregido en la versión 6.1.1. Según Wordfence, en las últimas 24 horas se han bloqueado 2 858 ataques dirigidos a esta vulnerabilidad; los propietarios de sitios que utilicen este plugin deben actualizar de inmediato.
Esencia técnica de la vulnerabilidad
El origen del problema es la función de «acceso temporal», pensada para que el personal de soporte técnico pueda autenticarse en el sitio del cliente durante la resolución de incidencias. Tal como indican los investigadores de Wordfence, la implementación de esta función contiene un defecto arquitectónico crítico: el handler AJAX wpgmp_temp_access_ajax está registrado con el hook wp_ajax_nopriv_, lo que lo hace accesible para usuarios no autenticados.
El único mecanismo de protección es la verificación del nonce token fc-call-nonce; sin embargo, este token se inserta públicamente en cada página del frontend mediante wp_localize_script como campo del objeto wpgmp_local. De este modo, la comprobación del nonce no cumple ninguna función de control de acceso: cualquier visitante del sitio puede extraer el token del código fuente de la página.
La cadena de explotación es la siguiente:
- El atacante obtiene el nonce token del objeto JavaScript público en cualquier página del sitio
- Envía una petición AJAX al handler
wpgmp_temp_access_supportcon el parámetrocheck_temp=false - La función crea sin condiciones un nuevo usuario de WordPress con el rol de administrador fijado de forma rígida a través de
wp_insert_user() - El servidor devuelve un enlace de inicio de sesión «mágico» que, al ser abierto, llama a
wp_set_auth_cookie(), autenticando por completo al atacante como administrador
El resultado es la toma de control completa del sitio sin necesidad de conocer ninguna credencial. La puntuación CVSS 9.8 refleja la criticidad: vector de ataque remoto, ausencia de requisitos de autenticación y baja complejidad de explotación.
Alcance de la amenaza y explotación activa
Según la telemetría de Wordfence, la vulnerabilidad ya está siendo explotada activamente. En 24 horas, la compañía ha registrado y bloqueado 2 858 ataques dirigidos a esta vulnerabilidad. Cabe tener en cuenta que estas cifras reflejan solo el tráfico que pasa por la infraestructura de Wordfence; el número real de intentos de explotación puede ser significativamente mayor.
WP Maps Pro es un plugin comercial distribuido a través de Envato Market (CodeCanyon), y no mediante el repositorio oficial de WordPress.org. Esto introduce un factor de riesgo adicional: los plugins comerciales de Envato no admiten la actualización automática mediante el mecanismo estándar de WordPress, lo que significa que muchos propietarios de sitios pueden no saber que hay un parche disponible y no recibirán ninguna notificación de actualización.
El plugin se utiliza principalmente como herramienta de localización de tiendas y puntos de servicio, lo que lo hace habitual en sitios de cadenas minoristas, empresas de servicios y organizaciones con puntos de presencia físicos.
Evaluación del impacto
La explotación exitosa de CVE-2026-8732 concede al atacante plenos privilegios administrativos en el sitio WordPress. Esto abre la posibilidad de:
- Incrustar código malicioso y redirecciones hacia recursos de phishing
- Robar datos de la base de datos de WordPress, incluidos datos personales de usuarios y clientes
- Utilizar el sitio comprometido como plataforma de lanzamiento para ataques posteriores
- Colocar web shells para mantener acceso persistente incluso después de actualizar el plugin
- Destruir por completo o sustituir el contenido del sitio
Resulta especialmente peligroso el hecho de que el mecanismo de explotación sea trivial y no requiera herramientas especializadas: basta con una petición HTTP estándar con el nonce token, disponible en cualquier página del sitio.
Recomendaciones de respuesta
Actualización inmediata: instale WP Maps Pro en la versión 6.1.1 o superior. El parche, publicado el 20 de mayo de 2026, restringe el acceso al endpoint vulnerable solo a administradores autenticados.
Comprobación de compromiso: si la actualización no se realizó de forma oportuna, es necesario revisar la lista de usuarios de WordPress para detectar cuentas desconocidas con rol de administrador. Debe prestarse especial atención a las cuentas creadas después de la divulgación pública de la vulnerabilidad.
Medidas adicionales para sitios ya comprometidos:
- Elimine todas las cuentas de administrador desconocidas
- Revise el sistema de archivos en busca de web shells y de archivos modificados del núcleo de WordPress
- Cambie las contraseñas de todos los administradores existentes y actualice las claves secretas en
wp-config.php - Compruebe la existencia de tareas programadas (WP-Cron) y plugins desconocidos que el atacante pudiera haber instalado
- Considere la restauración desde una copia de seguridad creada antes del inicio de la explotación
Teniendo en cuenta la explotación activa y el nivel crítico CVSS 9.8, la actualización de WP Maps Pro a la versión 6.1.1 debe realizarse con carácter prioritario, en cuestión de horas y no de días. Los propietarios de sitios que hayan adquirido el plugin a través de Envato Market deben descargar manualmente la versión actualizada e instalarla, ya que la entrega automática de actualizaciones para este tipo de plugins, por lo general, no está prevista. Si la actualización inmediata no es posible, como medida temporal puede desactivarse el plugin hasta que se aplique el parche.
