
WP Maps Pro 严重漏洞被积极利用
WordPress 插件 WP Maps Pro 发现严重权限提升漏洞 CVE-2026-8732,攻击者可在未认证情况下创建管理员账户并接管网站。该问题影响 6.1.0 及以前版本,已在 6.1.1 修复;站点管理员应尽快升级并检查是否已有异常管理员账户。
威胁行为者正尝试积极利用影响 WP Maps Pro 的一个严重安全漏洞,在易受攻击的网站上创建恶意管理员账户。WP Maps Pro 是一款 WordPress 插件,在 Envato Market 上的销量超过 15,000 次。
WP Maps Pro 允许站点所有者在 WordPress 网站中嵌入可自定义的 Google Maps 和 OpenStreetMap,并支持标记、列表和高级位置功能。它也被用作门店定位工具,方便用户查找附近位置、查看列表详情并获取路线。
该漏洞编号为 CVE-2026-8732(CVSS 评分:9.8),属于权限提升缺陷,允许未认证攻击者创建具有管理权限的 WordPress 用户,从而实际上接管网站。
该缺陷影响插件 6.1.0 及之前的所有版本,已在 6.1.1 版本中修复。安全研究员 David Brown 被认定发现并报告了该漏洞。
从高层看,这个问题根源于一个“临时访问”功能,该功能旨在让支持人员在排障期间登录客户网站。由于这一流程允许未认证用户在缺少充分检查的情况下调用 "wpgmp_temp_access_support()" 函数,最终使其能够创建管理员用户。
Wordfence 表示:“这是因为 wpgmp_temp_access_ajax AJAX 动作通过 wp_ajax_nopriv_ 注册,并且仅由使用 fc-call-nonce nonce 的 nonce 检查进行保护,而该 nonce 通过 wp_localize_script 作为 wpgmp_local JavaScript 对象的 nonce 字段,公开嵌入到每个前端页面中,使得该检查作为访问控制机制失效。”
“这使得未认证攻击者可以以 check_temp=false 调用 wpgmp_temp_access_support 处理程序,该处理程序会通过 wp_insert_user() 无条件创建一个具有硬编码 administrator 角色的新 WordPress 用户,并返回一个魔术登录 URL;当访问该 URL 时,会调用 wp_set_auth_cookie(),让攻击者以新创建的管理员身份完全认证,从而导致网站完全被接管。”
插件维护者于 2026 年 5 月 20 日发布的补丁,通过确保只有已认证的管理员才能访问该端点,修复了这一漏洞。
不过,该安全缺陷此后已遭到积极利用。Wordfence 表示,在过去 24 小时内已拦截 2,858 次针对该问题的攻击。因此,站点所有者必须将实例更新到最新版本,以获得最佳防护。