WP Maps Pro CVE-2026-8732

CVE-2026-8732 у WP Maps Pro дозволяє створити адміністратора WordPress без логіна. Оновіть до 6.1.1 і перевірте адмін-акаунти.

WP Maps Pro CVE-2026-8732 і ризик створення адміністратора WordPress без логіна

WP Maps Pro отримав критичну вразливість CVE-2026-8732: сайт із версією плагіна до 6.1.0 включно може дозволити сторонній людині створити нового адміністратора WordPress без звичайного входу. Для власника сайту це не просто “помилка у плагіні”, а сценарій повного захоплення: після появи адмін-акаунта нападник може ставити плагіни, змінювати шаблони, додавати редиректи або ховати бекдор.

Патч доступний у WP Maps Pro 6.1.1. Якщо на сайті є цей плагін, спершу оновіть або тимчасово вимкніть його, а потім перевірте, чи не з’явились нові адмін-акаунти та підозрілі запити до admin-ajax.php.

Хто під ризиком

Проблема стосується сайтів WordPress, які використовують WP Maps Pro для карт, каталогів локацій, нерухомості, туристичних сторінок або локальних бізнесів. Уразливими є всі версії до 6.1.0 включно; виправлена версія – 6.1.1.

СитуаціяЩо робити
WP Maps Pro 6.1.0 або старішеОновіть до 6.1.1. Якщо оновлення недоступне, вимкніть плагін до перевірки.
Невідомий адміністратор у WordPressНе обмежуйтесь видаленням акаунта. Перевірте плагіни, теми, mu-plugins, cron-завдання та файли у wp-content.
Підозрілі POST-запити до admin-ajax.phpШукайте згадки wpgmp_temp_access_ajax, wpgmp_temp_access_support або check_temp=false у веб-логах.

Що саме ламається

Опис CVE вказує на “temporary access” логіку плагіна. AJAX-дія була доступна для неавторизованих користувачів, а nonce, який мав захищати виклик, був доступний на фронтенді. У результаті зловмисник міг викликати підтримувальний handler, змусити WordPress створити користувача з роллю адміністратора через wp_insert_user() і отримати URL для входу без пароля.

Найнебезпечніше тут те, що атака виглядає як створення нормального користувача. Якщо власник сайту перевіряє лише файли на сервері, але не список користувачів і журнали входу, слід компрометації можна пропустити.

Що перевірити зараз

  1. Оновіть WP Maps Pro до 6.1.1 або вимкніть плагін до оновлення.
  2. Перегляньте Users -> Administrators: шукайте незнайомі email, логіни підтримки, нові акаунти після 29 травня 2026 року або користувачів без зрозумілого власника.
  3. Перевірте веб-логи на admin-ajax.php і назви wpgmp_temp_access_ajax, wpgmp_temp_access_support, check_temp=false.
  4. Якщо підозрілий адмін існував, змініть паролі, скиньте активні сесії, перевипустіть application passwords/API keys, оновіть salts у wp-config.php.
  5. Перевірте встановлені плагіни, теми, mu-plugins, cron-завдання, файли у uploads і підозрілі PHP-файли. Для вмісту сайту та робочих станцій адміністратора використовуйте перевірку безпеки, зокрема Gridinsoft Anti-Malware або доменну репутаційну перевірку Gridinsoft, якщо були редиректи чи шкідливі вставки.

Власникам WordPress також потрібно перевірити версію самого ядра: CVE-2026-63030 (wp2shell) виправлена у WordPress 7.0.2 і 6.9.5, а автоматичне оновлення слід підтвердити на кожній інсталяції.

FAQ

Чи достатньо просто оновити WP Maps Pro?

Якщо атаки не було, оновлення до 6.1.1 закриває головний ризик. Якщо на сайті вже є незнайомий адмін або підозрілі запити, ставтеся до цього як до компрометації WordPress і перевіряйте весь сайт.

Чи потрібен пароль адміністратора для атаки?

Ні. Опис CVE говорить про unauthenticated privilege escalation: атака не потребує чинного логіна WordPress.

Які журнали корисні для перевірки?

Почніть з access/error logs веб-сервера, журналів WAF/CDN і журналів входу WordPress. Найважливіші ознаки – незвичні POST-запити до admin-ajax.php і нові адміністративні користувачі.

References

  1. NIST National Vulnerability Database. “CVE-2026-8732 Detail.” NVD, published May 29, 2026, accessed June 1, 2026. https://nvd.nist.gov/vuln/detail/CVE-2026-8732
  2. INCIBE-CERT. “CVE-2026-8732.” INCIBE Early Warning Vulnerabilities, accessed June 1, 2026. https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2026-8732
  3. TheHackerWire. “CVE-2026-8732.” TheHackerWire Vulnerability Intelligence, accessed June 1, 2026. https://www.thehackerwire.com/vulnerability/CVE-2026-8732/

Ще один приклад ризику для власників WordPress — Steam C2-бекдор у WordPress-шкіднику, де перевірка має охоплювати не лише admin accounts, а й файли тем та плагінів.

Ще один актуальний сценарій захоплення WordPress-адміна – Kirki CVE-2026-8206, де вразливий обробник скидання пароля може відправити посилання атакувальнику.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.