Hackers estão explorando ativamente uma vulnerabilidade crítica no plugin WP Maps Pro (versões 6.1.0 e anteriores) para criar contas de administrador falsas e assumir o controle total de sites em WordPress. A falha, rastreada como CVE-2026-8732, dispensa qualquer tipo de autenticação por parte do invasor. A recomendação é que a atualização para a versão 6.1.1 seja feita imediatamente.
O WP Maps Pro é um plugin premium popular, com mais de 15.800 vendas, utilizado para criar mapas interativos. O pesquisador de segurança David Brown descobriu que o problema se origina em um recurso de “acesso temporário”. Essa função, originalmente criada para permitir que a equipe de suporte do plugin acessasse os sites dos clientes para resolver problemas, deixou uma brecha grave.
O endpoint AJAX usado por esse recurso estava acessível para usuários não autenticados. Ao enviar uma requisição específica, o invasor aciona um código que cria um novo usuário no WordPress (usando a função wp_insert_user()) com o cargo de administrador e um e-mail fixo (support@flippercode.com). O sistema então gera um link de login mágico, permitindo que o hacker entre no painel sem precisar de senha.
A situação é de risco imediato. Especialistas da empresa de segurança Defiant relataram ter bloqueado mais de 3.600 tentativas de exploração dessa falha em apenas 24 horas. Com acesso de administrador, os criminosos podem injetar backdoors, instalar plugins maliciosos, roubar dados e desfigurar o site.
O que os administradores devem fazer:
- Atualize o plugin WP Maps Pro para a versão 6.1.1 (lançada em 20 de maio) o mais rápido possível.
- Revise a aba “Usuários” no painel do WordPress e busque por contas de administrador desconhecidas, especialmente aquelas ligadas ao e-mail support@flippercode.com.
Com informações de BleepingComputer
