Vulnerabilidad crítica en WP Maps Pro permite creación de cuentas admin
Publicado el
Vulnerabilidad en WP Maps Pro
Recientemente se ha detectado una vulnerabilidad crítica en WP Maps Pro, un plugin de WordPress que ha registrado más de 15,000 ventas en el mercado de Envato. Este fallo permite a los atacantes crear cuentas de administrador maliciosas en sitios afectados, lo que podría comprometer gravemente la seguridad de estos.
La vulnerabilidad, identificada como CVE-2026-8732, tiene un puntaje CVSS de 9.8, lo que indica su alta severidad. Permite a atacantes no autenticados crear usuarios de WordPress con permisos de administrador, otorgándoles control total sobre el sitio web. Este problema afecta a todas las versiones del plugin anteriores y hasta la versión 6.1.0. La versión 6.1.1 ha sido lanzada para solucionar esta vulnerabilidad.
Origen del problema
La raíz de la vulnerabilidad se encuentra en una función de "acceso temporal" diseñada para permitir que el personal de soporte inicie sesión en el sitio de un cliente durante la resolución de problemas. Sin embargo, esta función permite que usuarios no autenticados invoquen la función `wpgmp_temp_access_support()` sin las comprobaciones adecuadas, lo que les permite crear un usuario administrador.
Según Wordfence, la acción AJAX `wpgmp_temp_access_ajax` se registró con `wp_ajax_nopriv_` y está protegida solo por una verificación de nonce, la cual se incrusta públicamente en cada página del frontend. Esto hace que la verificación sea ineficaz como mecanismo de control de acceso, permitiendo a los atacantes no autenticados invocar el manejador `wpgmp_temp_access_support` con `check_temp=false`, creando así un nuevo usuario de WordPress con el rol de administrador.
Medidas y recomendaciones
El parche lanzado por los mantenedores del plugin el 20 de mayo de 2026 corrige esta vulnerabilidad, asegurando que solo los administradores autenticados puedan acceder al endpoint afectado. Sin embargo, es importante destacar que esta vulnerabilidad ha estado bajo explotación activa. Wordfence ha reportado haber bloqueado 2,858 ataques relacionados con este problema en las últimas 24 horas.
Por lo tanto, se recomienda encarecidamente a los propietarios de sitios que utilicen WP Maps Pro que actualicen a la versión más reciente del plugin para garantizar una protección óptima. La seguridad de los sitios web es fundamental y la rápida acción puede prevenir compromisos significativos.