WP Maps Pro отримав критичну вразливість CVE-2026-8732: сайт із версією плагіна до 6.1.0 включно може дозволити сторонній людині створити нового адміністратора WordPress без звичайного входу. Для власника сайту це не просто “помилка у плагіні”, а сценарій повного захоплення: після появи адмін-акаунта нападник може ставити плагіни, змінювати шаблони, додавати редиректи або ховати бекдор.
Патч доступний у WP Maps Pro 6.1.1. Якщо на сайті є цей плагін, спершу оновіть або тимчасово вимкніть його, а потім перевірте, чи не з’явились нові адмін-акаунти та підозрілі запити до admin-ajax.php.
Хто під ризиком
Проблема стосується сайтів WordPress, які використовують WP Maps Pro для карт, каталогів локацій, нерухомості, туристичних сторінок або локальних бізнесів. Уразливими є всі версії до 6.1.0 включно; виправлена версія – 6.1.1.
| Ситуація | Що робити |
|---|---|
| WP Maps Pro 6.1.0 або старіше | Оновіть до 6.1.1. Якщо оновлення недоступне, вимкніть плагін до перевірки. |
| Невідомий адміністратор у WordPress | Не обмежуйтесь видаленням акаунта. Перевірте плагіни, теми, mu-plugins, cron-завдання та файли у wp-content. |
Підозрілі POST-запити до admin-ajax.php | Шукайте згадки wpgmp_temp_access_ajax, wpgmp_temp_access_support або check_temp=false у веб-логах. |
Що саме ламається
Опис CVE вказує на “temporary access” логіку плагіна. AJAX-дія була доступна для неавторизованих користувачів, а nonce, який мав захищати виклик, був доступний на фронтенді. У результаті зловмисник міг викликати підтримувальний handler, змусити WordPress створити користувача з роллю адміністратора через wp_insert_user() і отримати URL для входу без пароля.
Найнебезпечніше тут те, що атака виглядає як створення нормального користувача. Якщо власник сайту перевіряє лише файли на сервері, але не список користувачів і журнали входу, слід компрометації можна пропустити.
Що перевірити зараз
- Оновіть WP Maps Pro до 6.1.1 або вимкніть плагін до оновлення.
- Перегляньте Users -> Administrators: шукайте незнайомі email, логіни підтримки, нові акаунти після 29 травня 2026 року або користувачів без зрозумілого власника.
- Перевірте веб-логи на
admin-ajax.phpі назвиwpgmp_temp_access_ajax,wpgmp_temp_access_support,check_temp=false. - Якщо підозрілий адмін існував, змініть паролі, скиньте активні сесії, перевипустіть application passwords/API keys, оновіть salts у
wp-config.php. - Перевірте встановлені плагіни, теми,
mu-plugins, cron-завдання, файли у uploads і підозрілі PHP-файли. Для вмісту сайту та робочих станцій адміністратора використовуйте перевірку безпеки, зокрема Gridinsoft Anti-Malware або доменну репутаційну перевірку Gridinsoft, якщо були редиректи чи шкідливі вставки.
Власникам WordPress також потрібно перевірити версію самого ядра: CVE-2026-63030 (wp2shell) виправлена у WordPress 7.0.2 і 6.9.5, а автоматичне оновлення слід підтвердити на кожній інсталяції.
FAQ
Чи достатньо просто оновити WP Maps Pro?
Якщо атаки не було, оновлення до 6.1.1 закриває головний ризик. Якщо на сайті вже є незнайомий адмін або підозрілі запити, ставтеся до цього як до компрометації WordPress і перевіряйте весь сайт.
Чи потрібен пароль адміністратора для атаки?
Ні. Опис CVE говорить про unauthenticated privilege escalation: атака не потребує чинного логіна WordPress.
Які журнали корисні для перевірки?
Почніть з access/error logs веб-сервера, журналів WAF/CDN і журналів входу WordPress. Найважливіші ознаки – незвичні POST-запити до admin-ajax.php і нові адміністративні користувачі.
References
- NIST National Vulnerability Database. “CVE-2026-8732 Detail.” NVD, published May 29, 2026, accessed June 1, 2026. https://nvd.nist.gov/vuln/detail/CVE-2026-8732
- INCIBE-CERT. “CVE-2026-8732.” INCIBE Early Warning Vulnerabilities, accessed June 1, 2026. https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2026-8732
- TheHackerWire. “CVE-2026-8732.” TheHackerWire Vulnerability Intelligence, accessed June 1, 2026. https://www.thehackerwire.com/vulnerability/CVE-2026-8732/
Ще один приклад ризику для власників WordPress — Steam C2-бекдор у WordPress-шкіднику, де перевірка має охоплювати не лише admin accounts, а й файли тем та плагінів.
Ще один актуальний сценарій захоплення WordPress-адміна – Kirki CVE-2026-8206, де вразливий обробник скидання пароля може відправити посилання атакувальнику.
