Falha Crítica no Plugin WP Maps Pro Permite Criação de Contas de Administrador sem Autenticação
Uma vulnerabilidade crítica no popular plugin WP Maps Pro para WordPress, identificada como CVE-2026-8732, permite que atacantes criem contas de administrador sem qualquer forma de autenticação, concedendo controle total sobre sites afetados. A falha, que já está sendo ativamente explorada, reside em uma função de acesso temporário para suporte técnico.
MundiX News·05 de junho de 2026·4 min de leitura·👁 15 views
Uma falha de segurança crítica foi descoberta no popular plugin WP Maps Pro para WordPress, permitindo que cibercriminosos criem contas de administrador em sites sem a necessidade de qualquer tipo de autenticação. Essa vulnerabilidade já está sendo ativamente explorada em ataques reais, colocando em risco a integridade e o controle de inúmeros recursos online.
A vulnerabilidade, catalogada como CVE-2026-8732 e com uma pontuação CVSS de 9,8, afeta todas as versões do WP Maps Pro até a versão 6.1.0. O WP Maps Pro é um plugin comercial amplamente utilizado para integrar mapas do Google Maps e OpenStreetMap em sites WordPress, além de ser empregado na criação de localizadores de lojas e diretórios de pontos de venda. A descoberta foi feita pelo pesquisador de segurança David Brown, que apontou que a raiz do problema está na implementação da função de acesso temporário para suporte técnico.
Originalmente projetada para permitir que a equipe de desenvolvimento acessasse o site de um cliente para fins de diagnóstico, a funcionalidade de acesso remoto se mostrou insegura. Um endpoint AJAX específico estava acessível a usuários não autorizados e era protegido apenas por um nonce-token, que, na prática, era exposto em todas as páginas do site via JavaScript. Essa verificação falha não oferecia nenhum controle de acesso real. Para explorar a CVE-2026-8732, um atacante precisava apenas enviar uma requisição especialmente elaborada com o parâmetro check_temp=false. O plugin, então, criava automaticamente um novo usuário WordPress com a função de administrador, gerava um link mágico para login e o retornava na resposta. Ao clicar neste link, o WordPress autenticava o usuário com a nova conta de administrador, sem a necessidade de senha ou verificações adicionais.
Uma vez com privilégios de administrador, um atacante pode realizar uma série de ações maliciosas, como instalar plugins comprometidos, implantar web shells, inserir backdoors, roubar dados de usuários ou assumir o controle total do site. Os desenvolvedores do plugin lançaram um patch para corrigir a vulnerabilidade em 20 de maio de 2026, com o lançamento da versão 6.1.1. A atualização restringiu o acesso ao endpoint problemático, permitindo seu uso apenas por administradores autenticados. No entanto, antes mesmo da liberação do patch, a falha já havia chamado a atenção de cibercriminosos. A empresa Wordfence relatou ter bloqueado aproximadamente 2.858 tentativas de exploração da CVE-2026-8732 em apenas 24 horas, enquanto a Defiant registrou mais de 3.600 ataques contra sites vulneráveis no mesmo período.
Diante da exploração ativa da falha, administradores de sites WordPress são fortemente recomendados a atualizar o plugin WP Maps Pro para a versão 6.1.1 ou superior o mais rápido possível. A urgência na aplicação do patch é crucial para mitigar os riscos de invasão e garantir a segurança dos dados e a integridade dos sites.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma falha de segurança crítica foi descoberta no popular plugin WP Maps Pro para WordPress, permitindo que cibercriminosos criem contas de administrador em sites sem a necessidade de qualquer tipo de autenticação. Essa vulnerabilidade já está sendo ativamente explorada em ataques reais, colocando em risco a integridade e o controle de inúmeros recursos online.
A vulnerabilidade, catalogada como CVE-2026-8732 e com uma pontuação CVSS de 9,8, afeta todas as versões do WP Maps Pro até a versão 6.1.0. O WP Maps Pro é um plugin comercial amplamente utilizado para integrar mapas do Google Maps e OpenStreetMap em sites WordPress, além de ser empregado na criação de localizadores de lojas e diretórios de pontos de venda. A descoberta foi feita pelo pesquisador de segurança David Brown, que apontou que a raiz do problema está na implementação da função de acesso temporário para suporte técnico.
Originalmente projetada para permitir que a equipe de desenvolvimento acessasse o site de um cliente para fins de diagnóstico, a funcionalidade de acesso remoto se mostrou insegura. Um endpoint AJAX específico estava acessível a usuários não autorizados e era protegido apenas por um nonce-token, que, na prática, era exposto em todas as páginas do site via JavaScript. Essa verificação falha não oferecia nenhum controle de acesso real. Para explorar a CVE-2026-8732, um atacante precisava apenas enviar uma requisição especialmente elaborada com o parâmetro check_temp=false. O plugin, então, criava automaticamente um novo usuário WordPress com a função de administrador, gerava um link mágico para login e o retornava na resposta. Ao clicar neste link, o WordPress autenticava o usuário com a nova conta de administrador, sem a necessidade de senha ou verificações adicionais.
Uma vez com privilégios de administrador, um atacante pode realizar uma série de ações maliciosas, como instalar plugins comprometidos, implantar web shells, inserir backdoors, roubar dados de usuários ou assumir o controle total do site. Os desenvolvedores do plugin lançaram um patch para corrigir a vulnerabilidade em 20 de maio de 2026, com o lançamento da versão 6.1.1. A atualização restringiu o acesso ao endpoint problemático, permitindo seu uso apenas por administradores autenticados. No entanto, antes mesmo da liberação do patch, a falha já havia chamado a atenção de cibercriminosos. A empresa Wordfence relatou ter bloqueado aproximadamente 2.858 tentativas de exploração da CVE-2026-8732 em apenas 24 horas, enquanto a Defiant registrou mais de 3.600 ataques contra sites vulneráveis no mesmo período.
Diante da exploração ativa da falha, administradores de sites WordPress são fortemente recomendados a atualizar o plugin WP Maps Pro para a versão 6.1.1 ou superior o mais rápido possível. A urgência na aplicação do patch é crucial para mitigar os riscos de invasão e garantir a segurança dos dados e a integridade dos sites.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
