CodeCanyonで15,000件以上の販売実績を誇るWordPressマッピングプラグイン「WP Maps Pro」に、認証なしで権限昇格が可能な深刻な脆弱性が発見されました。脅威アクターがこれを悪用し、不正な管理者アカウントを作成する事例が活発に報告されています。
CVE-2026-8732として追跡されているこの脆弱性は、CVSSスコアが最高値の9.8(緊急)を記録しており、バージョン6.1.0以前のすべてのプラグインが影響を受けます。
この脆弱性は、ベンダースタッフがトラブルシューティング時に顧客サイトへログインできるよう設計された、プラグイン組み込みの「一時アクセス」機能に起因しています。
AJAXアクションwpgmp_temp_access_ajaxはWordPressのwp_ajax_nopriv_フックを使用して登録されており、完全に未認証のユーザーでもアクセス可能な状態でした。保護手段はnonceチェックのみに限られていました。
さらに問題なのは、そのnonce(fc-call-nonce)がwp_localize_scriptを通じてサイトのすべてのフロントエンドページに公開埋め込みされている点です。これにより、アクセス制御機構としての保護機能は完全に無効化されていました。
この脆弱性はCWE-306(重要な機能に対する認証の欠如)に分類されており、特権もユーザー操作も不要なネットワークベースの攻撃経路が成立します。
攻撃者は公開されたAJAXエンドポイントにパラメータcheck_temp=falseを付けたPOSTリクエストを送信するだけで、wpgmp_temp_access_support()関数を呼び出すことができます。
この関数はWordPressのwp_insert_user()を無条件に呼び出し、ハードコードされた管理者ロール、fc_user_をプレフィックスとするランダム生成のユーザー名、そしてハードコードされたメールアドレス[email protected]を持つ新しいアカウントを作成します。
その後、関数は「マジックログインURL」を生成し、HTTPレスポンスのボディに直接返します。
この脆弱性の実際の悪用はすでに報告されており、攻撃者は取得した管理者権限を利用して、悪意のあるプラグインのインストール、永続的なバックドアの埋め込み、Webシェルの展開、機密データの窃取、サイトコンテンツの改ざんなどを行っています。
セキュリティ研究者のDavid Brown氏は、2026年3月24日にWordfence Bug Bounty Programを通じてこの脆弱性を責任ある形で報告しました。
ベンダーへの直接連絡手段がなかったため、Wordfenceは2026年5月16日にEnvatoのセキュリティチームへ報告をエスカレーションし、同チームが開発者に転送しました。
完全に修正されたバージョン6.1.1が2026年5月20日にリリースされました。修正内容は、AJAXコールバック関数の先頭にcurrent_user_can('manage_options')の権限チェックを追加し、アカウント作成処理が実行される前に未認証のリクエストを即座に403 Unauthorizedエラーで拒否するものです。
認証が一切不要な攻撃の容易さ、公開済みのPoC、そして実際の悪用が確認されていることを踏まえると、WP Maps Proを使用しているすべてのサイトはCVE-2026-8732を緊急パッチ適用の最優先事項として対処する必要があります。
翻訳元: https://cyberpress.org/critical-wp-maps-pro-flaw/