ハッカーが、脆弱なバージョンのWP Maps Proプラグインを使用するWordPressサイトを標的にしています。この脆弱性を利用すると、認証なしに不正な管理者アカウントを作成できてしまいます。
CVE-2026-8732として追跡されているこの脆弱性は深刻度が「クリティカル」に評価されており、WP Maps Proバージョン6.1.0以前に影響します。セキュリティ研究者のDavid Brownが発見・報告しました。
WP Maps Proは、インタラクティブでカスタマイズ可能なマップやストアロケーターを構築するためのプレミアムWordPressプラグインです。Google MapsやOpenStreetMapなど、複数のマッププロバイダーに対応しています。
このプラグインは、複数の場所を地図上に表示する必要がある企業、不動産サイト、旅行サイト、ディレクトリサービス、各種団体などに広く利用されており、Envato Marketでの販売数は15,800件を超えています。
CVE-2026-8732の脆弱性は、プラグインの「一時アクセス」機能に起因します。この機能は本来、ベンダーのサポートスタッフがトラブルシューティングのために顧客サイトにアクセスできるよう設計されたものです。
Brownは、この機能で使用されるAJAXエンドポイントが未認証のユーザーからもアクセス可能であり、フロントエンドのJavaScript上に公開されているnonceチェックのみに依存していることを発見しました。このため保護機能は事実上無効化されています。
これにより、細工されたリクエストを送信するだけで、新しいWordPressユーザーの作成、管理者ロールの付与、パスワード不要のログインURLの生成、そしてそのURLのリモートシステムへの送信というコードが実行されてしまいます。
攻撃者がこのURLにアクセスすると、パスワードやその他の認証手続きなしに、新たに作成された管理者アカウントへ自動的にログインできてしまいます。
WordPressセキュリティ企業Defiantの研究者は、脅威アクターがこの脆弱性の悪用を試みていることを観測しており、過去24時間で3,600件以上の攻撃試行をブロックしています。
「check_tempパラメータをfalseに設定してリクエストが送信されると、この関数はwp_insert_user()を通じて新しいWordPressユーザーを作成します。ロールは管理者にハードコードされており、ユーザー名はランダム生成、メールアドレスは[email protected]にハードコードされています」と研究者らは説明しています。
「その後、関数はgenerate_login_link()を使用して『マジックログインURL』を生成し、ユーザーメタとして保存してレスポンスボディに返します」
サイトへの管理者レベルのアクセス権を持つ攻撃者は、持続的なバックドアの埋め込み、コンテンツの改ざん、非公開データへのアクセス、ウェブシェルの設置、悪意あるプラグインのインストール、サイト全体の乗っ取りなど、あらゆる悪意ある操作が可能になります。
Brownは3月24日にWordfenceへこの脆弱性を報告し、悪用可能なことが確認された後、5月16日にベンダーへ通知されました。
5月20日、CVE-2026-8732の修正を含むWP Maps Pro 6.1.1がリリースされました。すでに悪意ある活動が確認されていることから、ウェブサイト管理者はできるだけ早急にプラグインをアップデートすることが推奨されます。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問い。本当に必要なのは6つ
自動ペネトレーションテストツールは確かな価値をもたらしますが、それが答えるのは「攻撃者がネットワーク内を横断できるか」という一つの問いに過ぎません。制御機能が脅威をブロックできているか、検知ルールが正常に機能しているか、クラウドの設定が堅牢かどうかを検証するようには設計されていません。
本ガイドでは、実際に検証すべき6つの対象領域を解説します。
