WP Maps Pro bug exploited to create admin accounts on WordPress sites

Exploitation critique du plugin WP Maps Pro : Création de comptes administrateurs

Le plugin WordPress « WP Maps Pro » fait l’objet d’attaques actives visant à compromettre les sites web par la création non autorisée de comptes administrateurs. Cette faille, exploitée massivement, permet aux attaquants de prendre le contrôle total des sites vulnérables.

Points clés :

• Mécanisme d’attaque : La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support technique. Un point de terminaison AJAX, mal protégé par une vérification de sécurité côté client (nonce) facilement contournable, permet à des utilisateurs non authentifiés de manipuler le système.
• Conséquences : L’exploitation génère automatiquement un compte administrateur avec un lien de connexion « magique » sans mot de passe, offrant un accès complet pour installer des backdoors, voler des données ou diffuser du contenu malveillant.
• État des menaces : Plus de 3 600 tentatives d’exploitation ont été bloquées en seulement 24 heures.

Vulnérabilité :

• CVE-2026-8732 : Sévérité critique. Impacte WP Maps Pro dans ses versions 6.1.0 et antérieures.

Recommandations :

• Mise à jour immédiate : Mettre à jour le plugin WP Maps Pro vers la version 6.1.1 ou supérieure pour corriger la faille.
• Audit de sécurité : Vérifier les comptes utilisateurs du site WordPress à la recherche de comptes administrateurs suspects créés récemment (notamment ceux associés à l’adresse e-mail support@flippercode.com).

Source