CVE-2026-8732

Nome do Software Vulnerável e Versões Afetadas WP Maps Pro versões anteriores a 6.1.1

Descrição Um problema de escalonamento de privilégios não autenticado existe devido a um recurso de acesso temporário falho projetado para suporte técnico. A ação AJAX 'wpgmp temp access ajax' está registrada para usuários não autenticados e depende de uma verificação de nonce usando fc-call-nonce. No entanto, este nonce é incorporado publicamente no objeto JavaScript de frontend wpgmp local, tornando a verificação de segurança ineficaz. Atacantes podem invocar o manipulador wpgmp temp access support() passando o parâmetro check temp=false, o que aciona a função wp insert user() para criar incondicionalmente um novo usuário do WordPress com a função de administrador codificada. O sistema então retorna uma URL de login mágica que usa wp set auth cookie() para autenticar totalmente o atacante como o novo administrador, resultando na tomada total de controle do site. Estima-se que aproximadamente 15.000 sites sejam afetados, e a exploração ativa foi observada, com milhares de ataques bloqueados por serviços de segurança em períodos de um único dia.

Recomendações Atualize o WP Maps Pro para a versão 6.1.1 ou posterior. Como solução temporária, desative o plugin até que a atualização possa ser aplicada. Audite a lista de usuários administradores e remova quaisquer contas não reconhecidas. Revise os logs do site em busca de requisições POST para 'wp-admin/admin-ajax.php' com a ação wpgmp temp access support para identificar possíveis explorações.