BI.ZONE WAF защищает от новой критической уязвимости в плагине WP Maps Pro для WordPress

Сервис обеспечивает защиту от уязвимости в WP Maps Pro, которая позволяет злоумышленникам создавать учетные записи администраторов и полностью захватывать контроль над сайтом

11 июня 2026 г.

Уязвимость CVE-2026-8732 затрагивает плагин WP Maps Pro для WordPress. Он позволяет встраивать на сайты карты Google Maps и OpenStreetMap — например, для создания интерактивных карт и локаторов, которые используются для отображения местоположений, маршрутов и других географических данных.

Информация об уязвимости была публично раскрыта 29 мая 2026 года. По шкале CVSS 3.1 CVE‑2026‑8732 получила оценку 9,8 из 10 баллов.

Проблема связана с некорректной реализацией механизма контроля доступа в AJAX‑действии wpgmp_temp_access_ajax. Обработчик зарегистрирован через механизм wp_ajax_nopriv_, что позволяет вызывать его без аутентификации, а единственной мерой защиты выступает проверка nonce‑токена. Однако токен fc-call-nonce публично передается на фронтенд через wp_localize_script в составе JavaScript‑объекта wpgmp_local, из‑за чего злоумышленник может получить его напрямую со страницы сайта.

Для эксплуатации уязвимости атакующему достаточно отправить запрос к обработчику wpgmp_temp_access_support с параметром check_temp=false. В результате плагин вызывает функцию wp_insert_user() и создает нового пользователя WordPress с заранее заданной ролью администратора. После этого злоумышленник получает специальную ссылку для входа. Если по ней перейти, выполняется вызов wp_set_auth_cookie(), что приводит к аутентификации с административными привилегиями.

30 мая в сети появились примеры эксплуатации уязвимости (PoC). Это означает, что злоумышленники могут инициировать нелегитимную активность, следуя готовой инструкции. В связи этим число атак на уязвимое приложение может значительно возрасти. Эксперты BI.ZONE WAF зафиксировали попытки эксплуатации уязвимости 4 и 6 июня 2026 года.

К признакам эксплуатации относятся:

Появление учетных записей администраторов, созданных без ведома владельца сайта.
Подозрительные AJAX‑запросы к файлу admin‑ajax.php с параметрами action=wpgmp_temp_access_ajax и check_temp=false.
Нетипичные попытки входа в административную панель с IP‑адресов, ранее не связанных с администраторами ресурса.

Разработчики плагина WP Maps Pro устранили уязвимость в обновлении 6.1.1. Если компания по каким‑то причинам не готова в кратчайшие сроки перейти на новую версию, BI.ZONE WAF поможет в защите от атак с эксплуатацией CVE‑2026‑8732. Специалисты разработали точечные правила, которые предотвращают попытки атак и не нарушают логику работы приложений.

Рекомендуется как можно скорее обновить плагин WP Maps Pro до версии 6.1.1 или новее, проверить список пользователей WordPress на наличие подозрительных учетных записей с правами администратора, удалить их и сменить пароли легитимных администраторов.