Bedreigingsactoren proberen actief misbruik te maken van een kritieke beveiligingsfout die van invloed is op WP Maps Pro, een WordPress-plug-in die meer dan 15.000 verkopen heeft gehad op de Envato Market, om kwaadaardige beheerdersaccounts op gevoelige sites te creëren.
Met WP Maps Pro kunnen site-eigenaren aanpasbare Google Maps en OpenStreetMap insluiten met markeringen, lijsten en geavanceerde locatiefuncties op WordPress-sites. Het wordt gebruikt als hulpmiddel voor het zoeken naar winkels, waardoor gebruikers gemakkelijker locaties in de buurt kunnen vinden, vermeldingsdetails kunnen bekijken en een routebeschrijving kunnen opvragen.
De kwetsbaarheid in kwestie is CVE-2026-8732 (CVSS-score: 9,8), een bug voor escalatie van bevoegdheden waarmee niet-geverifieerde aanvallers een WordPress-gebruiker met beheerdersrechten kunnen aanmaken, waardoor ze effectief de controle over een site kunnen overnemen.
De tekortkoming heeft gevolgen voor alle versies van de plug-in vóór en inclusief 6.1.0. Het is verholpen in versie 6.1.1. Beveiligingsonderzoeker David Brown wordt gecrediteerd voor het ontdekken en rapporteren van de fout.
Op een hoog niveau is het probleem geworteld in een functie voor “tijdelijke toegang” die is ontworpen om ondersteunend personeel in staat te stellen in te loggen op de site van een klant tijdens het oplossen van problemen. Omdat dit proces niet-geverifieerde gebruikers in staat stelt de functie “wpgmp_temp_access_support()” aan te roepen zonder adequate controles, kunnen ze uiteindelijk een beheerdergebruiker aanmaken.
“Dit komt doordat de wpgmp_temp_access_ajax AJAX-actie is geregistreerd bij wp_ajax_nopriv_ en alleen wordt beschermd door een nonce-controle met behulp van de fc-call-nonce nonce, die publiekelijk is ingebed in elke frontend-pagina via wp_localize_script als het nonce-veld van het wpgmp_local JavaScript-object, waardoor de controle ineffectief is als toegangscontrolemechanisme”, aldus Wordfence.
“Dit maakt het voor niet-geverifieerde aanvallers mogelijk om de wpgmp_temp_access_support handler aan te roepen met check_temp=false, die onvoorwaardelijk een nieuwe WordPress-gebruiker creëert met de hardgecodeerde rol van beheerder via wp_insert_user() en een magische inlog-URL retourneert die, wanneer bezocht, wp_set_auth_cookie() aanroept om de aanvaller volledig te authenticeren als de nieuw aangemaakte beheerder, wat resulteert in een volledige site-overname.”
De patch die op 20 mei 2026 door de beheerders van de plug-in is uitgebracht, dicht het beveiligingslek door ervoor te zorgen dat alleen geverifieerde beheerders toegang hebben tot het eindpunt.
Dat gezegd hebbende, is het beveiligingslek sindsdien actief uitgebuit, waarbij Wordfence beweert dat het de afgelopen 24 uur 2.858 aanvallen op het probleem heeft geblokkeerd. Het is daarom essentieel dat site-eigenaren hun instances updaten naar de nieuwste versie voor optimale bescherming.
