セキュリティ企業Defiantは、WordPressプラグイン「WP Maps Pro」に存在する深刻な脆弱性が攻撃者に悪用され、ウェブサイトの乗っ取り被害が発生していると警告しています。
WP Maps Proは、サイト管理者がWordPressサイトにGoogleマップを埋め込めるプラグインで、位置情報やマーカー、カテゴリーを詳細にカスタマイズする機能を備えています。
悪用されている脆弱性はCVE-2026-8732(CVSSスコア9.8)として追跡されており、認証されていない攻撃者が新たな管理者アカウントを作成し、脆弱なサイトを乗っ取ることを可能にするものです。
WP Maps Proにはサポート機能が実装されており、ベンダーがトラブルシューティングの一環として顧客サイトにログインするための一時アクセス機能が組み込まれています。
Defiantによると、このセキュリティ上の欠陥は、一時アクセスの生成処理を担うAJAXコールバック関数に存在しており、保護手段としてnonceチェックのみが実装されていました。
このnonceはすべてのフロントエンドページに埋め込まれており、未認証のユーザーにも公開されているため、nonceチェックによる保護は事実上機能していない状態でした。
さらに、このプラグインには権限チェックが実装されていないため、未認証の攻撃者がcheck_tempパラメータをfalseに設定してAJAXアクションを呼び出し、管理者権限を持つ新しいWordPressユーザーを作成できてしまいます。
作成されるユーザーにはランダムなユーザー名とハードコードされたメールアドレスが割り当てられます。また、この関数はマジックログインURLを生成して攻撃者に返すため、パスワードや追加の認証なしにサイトへログインできます。
Defiantは「結果として、攻撃者はサイトに対する完全な管理者権限を取得し、悪意あるプラグインのインストール、テーマの改ざん、バックドアの埋め込み、データの窃取、持続的なアクセスを目的としたウェブシェルの設置などが可能になります」と説明しています。
この脆弱性はWP Maps Pro バージョン6.1.1で修正されており、認証済み管理者のみにアクセスを制限する権限チェックが追加されています。
Defiantは、過去24時間でCVE-2026-8732を標的とした1,700件を超える攻撃をブロックしたと報告しています。
翻訳元: https://www.securityweek.com/wp-maps-pro-vulnerability-exploited-to-take-over-wordpress-sites/
