01.06.2026
1 хв
124
Кіберзлочинці почали активно використовувати критичну вразливість у популярному WordPress-плагіні WP Maps Pro, яка дозволяє без авторизації створювати облікові записи адміністраторів і повністю захоплювати сайти. За останню добу фахівці вже зафіксували тисячі спроб експлуатації цієї помилки.
Йдеться про вразливість CVE-2026-8732 з оцінкою CVSS 9.8. Проблема зачіпає всі версії WP Maps Pro до 6.1.0 включно. Плагін використовується для створення інтерактивних карт, каталогів і сервісів пошуку локацій на базі Google Maps та OpenStreetMap. За даними розробників, продукт має понад 15 тисяч продажів на Envato Market.
Помилку виявив дослідник безпеки Девід Браун. Причина криється у функції тимчасового доступу, яка була створена для того, щоб технічна підтримка могла підключатися до сайтів клієнтів під час усунення проблем. Як з’ясувалося, цей механізм можна було викликати без проходження автентифікації.
Через неправильну реалізацію AJAX-обробника зловмисник міг відправити спеціально сформований запит і змусити плагін автоматично створити нового користувача WordPress з правами адміністратора. Після цього система генерувала спеціальне посилання для входу без пароля, яке одразу авторизувало атакувальника в системі.
У Wordfence пояснили, що проблема виникла через використання nonce-токена, який був доступний на всіх фронтенд-сторінках сайту, через що він фактично не виконував функцію захисту.
«Це дає змогу неавторизованим зловмисникам викликати обробник із параметром check_temp=false, що безумовно створює нового користувача WordPress із жорстко запрограмованою роллю адміністратора».
Отримавши адміністративний доступ, зловмисники можуть встановлювати шкідливі плагіни, впроваджувати бекдори, завантажувати вебшелли, змінювати вміст сайту або повністю перехоплювати контроль над ресурсом.
Ситуацію ускладнює те, що атаки вже відбуваються в реальному середовищі. За інформацією Wordfence, лише за останні 24 години система заблокувала понад 2858 спроб експлуатації цієї вразливості. Інші дослідники повідомляють про більш ніж 3600 зафіксованих атак.
Розробники випустили виправлення 20 травня у версії WP Maps Pro 6.1.1. Патч додає перевірку прав доступу та обмежує використання вразливого механізму лише для авторизованих адміністраторів.
За даними Wordfence, звіт про вразливість надійшов ще 24 березня 2026 року через програму Bug Bounty. Через відсутність прямого контакту з розробниками дослідникам довелося звертатися до команди безпеки Envato для передачі інформації про проблему. Після підтвердження помилки виробник підготував виправлення та випустив оновлення 6.1.1.
Власникам сайтів на WordPress рекомендують негайно перевірити версію WP Maps Pro та оновитися до останнього релізу. З огляду на активну експлуатацію вразливості будь-яке зволікання може завершитися повним захопленням сайту.
