Critical WP Maps Pro Flaw Actively Exploited to Create Admin Accounts

Vulnérabilité critique dans WP Maps Pro : Prise de contrôle de sites WordPress

Le plugin WordPress « WP Maps Pro » fait l’objet d’attaques actives visant à compromettre les sites utilisant cet outil. Une faille de sécurité critique permet à des attaquants non authentifiés de créer des comptes administrateurs, offrant ainsi un contrôle total sur les serveurs infectés.

Points clés :

• La vulnérabilité réside dans une fonctionnalité de « support temporaire » mal sécurisée.
• L’action AJAX wpgmp_temp_access_ajax est mal protégée par un jeton (nonce) public, facilement accessible sur toutes les pages frontales.
• Les attaquants peuvent invoquer la fonction wpgmp_temp_access_support() pour générer un lien de connexion magique qui crée automatiquement un utilisateur administrateur.
• Le problème concerne plus de 15 000 installations ayant acquis le plugin.

Vulnérabilité :

• CVE-2026-8732 (Score CVSS : 9.8) : Élévation de privilèges non authentifiée.
• Versions affectées : Toutes les versions jusqu’à la 6.1.0 incluse.

Recommandations :

• Mise à jour immédiate : Passer à la version 6.1.1 ou ultérieure, qui corrige la faille en restreignant l’accès à ce point de terminaison aux seuls administrateurs authentifiés.
• Audit de sécurité : Vérifier la liste des comptes utilisateurs sur les sites WordPress équipés de ce plugin pour détecter toute création suspecte d’administrateur.

Source