Peretas menargetkan situs WordPress yang menjalankan versi plugin WP Maps Pro yang rentan, yang memungkinkan pembuatan akun administrator jahat tanpa otentikasi.
Kerentanannya, yang dilacak sebagai CVE-2026-8732, memiliki tingkat keparahan kritis dan berdampak pada WP Maps Pro versi 6.1.0 dan yang lebih lama. Itu ditemukan dan dilaporkan oleh peneliti keamanan David Brown.
WP Maps Pro adalah plugin WordPress premium untuk membuat peta dan pencari lokasi toko yang interaktif dan dapat disesuaikan. Ini mendukung beberapa penyedia peta, seperti Google Maps dan OpenStreetMap.
Plugin ini biasanya digunakan oleh bisnis, situs web real estat, situs perjalanan, direktori, dan organisasi yang perlu menampilkan beberapa lokasi di peta, dan memiliki lebih dari 15.800 penjualan di Pasar Envato.
Kerentanan CVE-2026-8732 disebabkan oleh fitur “akses sementara” di plugin, yang dimaksudkan untuk memungkinkan staf dukungan vendor mengakses situs pelanggan untuk pemecahan masalah.
Brown menemukan bahwa titik akhir AJAX yang digunakan untuk fitur ini dapat diakses oleh pengguna yang tidak diautentikasi dan hanya mengandalkan pemeriksaan nonce yang diekspos secara publik di JavaScript frontend, sehingga menjadikan perlindungan tidak efektif.
Hal ini memungkinkan pengiriman permintaan yang dibuat khusus yang memicu kode untuk membuat pengguna WordPress baru, menetapkan peran administrator, menghasilkan URL login tanpa kata sandi, dan mengirimkannya ke sistem jarak jauh.
Setelah penyerang mengunjungi URL ini, mereka secara otomatis diautentikasi ke akun administrator yang baru dibuat, tanpa memerlukan kata sandi atau verifikasi lainnya.
Para peneliti di perusahaan keamanan WordPress Defiant mengamati bahwa pelaku ancaman mencoba mengeksploitasi kerentanan tersebut, dan memblokir lebih dari 3.600 upaya selama 24 jam terakhir.
Sumber: Wordfence
“Ketika permintaan dibuat dengan parameter check_temp disetel ke false, fungsi tersebut akan membuat pengguna WordPress baru melalui wp_insert_user() dengan peran administrator yang di-hardcode, nama pengguna yang dibuat secara acak, dan alamat email yang di-hardcode support@flippercode.com,” peneliti menjelaskan.
“Fungsi tersebut kemudian menghasilkan “URL login ajaib” menggunakan generate_login_link(), menyimpannya sebagai meta pengguna, dan mengembalikannya di isi respons.”
Memiliki akses tingkat admin di situs berarti penyerang dapat memasukkan pintu belakang yang persisten, mengubah konten, mengakses data pribadi, menyebarkan web shell, menginstal plugin berbahaya, dan mengambil alih situs web.
Brown melaporkan kelemahan tersebut ke Wordfence pada 24 Maret, dan vendor diberitahu pada 16 Mei setelah memvalidasi eksploitasi tersebut.
Pada tanggal 20 Mei, WP Maps Pro 6.1.1 dirilis dengan perbaikan untuk CVE-2026-8732. Administrator situs web disarankan untuk memperbarui plugin mereka sesegera mungkin, karena aktivitas jahat telah teramati.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
