WP Maps Pro aprovechó el error de creación de la cuenta de administrador de WordPress
TL; DR
Una vulnerabilidad crítica en el complemento de WordPress WP Maps Pro (CVE-2026-8732, CVSS 9.8) permite a atacantes no autenticados crear cuentas de administrador y apoderarse de sitios. Wordfence bloqueó 2.858 intentos de explotación en 24 horas y la falla se corrigió en la versión 6.1.1.
Los atacantes están explotando activamente una vulnerabilidad crítica en WP Maps Pro, un complemento comercial de WordPress con más de 15.000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios vulnerables. La falla, identificada como CVE-2026-8732 con una puntuación CVSS de 9,8, permite a los usuarios no autenticados obtener control administrativo total de cualquier instalación de WordPress que ejecute una versión sin parches del complemento.
WordFence, que descubrió la campaña de explotación, bloqueó 2.858 ataques dirigidos a la vulnerabilidad en las 24 horas previas a su lanzamiento. El error afecta a todas las versiones de WP Maps Pro hasta la 6.1.0 inclusive y se corrigió en la versión 6.1.1 lanzada el 20 de mayo de 2026. Al investigador de seguridad David Brown se le atribuye haber descubierto e informado el problema.
Cómo funciona la explotación
WP Maps Pro incluye una función de "acceso temporal" que permite al personal de soporte del complemento iniciar sesión en el sitio del cliente mientras soluciona problemas. El atributo expone una acción AJAX llamada "wpgmp_temp_access_ajax" que puede crear un nuevo usuario de WordPress con privilegios de administrador. La arquitectura de seguridad detrás de la característica era fundamentalmente defectuosa: la acción se registró con el gancho "wp_ajax_nopriv_" de WordPress, lo que significa que podrían llamarla visitantes no autorizados.
La única protección era un cheque nonce, un token para evitar el fraude de solicitudes entre sitios. Pero el nonce se incrustó públicamente en cada página frontal del sitio a través del objeto JavaScript "wpgmp_local", haciéndolo inútil como mecanismo de control de acceso. Cualquier visitante puede leer el nonce de la fuente de la página y usarlo para invocar la función.
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!
Un atacante que llama al punto final con el parámetro "check_temp=false" activa la función "wpgmp_temp_access_support()", que crea incondicionalmente un nuevo usuario de WordPress con el rol codificado de administrador y proporciona una URL de inicio de sesión mágica. Al visitar esa URL se llama "wp_set_auth_cookie()" para autenticar completamente al atacante como el administrador recién creado. Toda la cadena, desde las solicitudes no autorizadas hasta la toma completa del sitio, no requiere credenciales, ingeniería social ni acceso previo.
Complemento y su alcance
WP Maps Pro permite a los propietarios de sitios incorporar vistas personalizables de Google Maps y OpenStreetMap con marcadores, listas y funciones de ubicación avanzadas. Se utiliza comúnmente como herramienta de localización de tiendas para empresas que necesitan ayudar a los usuarios a encontrar ubicaciones cercanas, ver detalles y obtener direcciones. El complemento se vende a través de Envato Market (CodeCanyon), no a través del directorio oficial de complementos de WordPress, lo que significa que las actualizaciones no se distribuyen a través del mecanismo de actualización automática estándar de WordPress.
Ese modelo de distribución plantea un riesgo particular. Es posible que los propietarios de sitios que compren el complemento no reciban notificaciones automáticas sobre actualizaciones de seguridad, y muchas instalaciones de WordPress son mantenidas por usuarios o agencias no técnicos que no monitorean las divulgaciones de vulnerabilidades. A diferencia de la infraestructura de cibercrimen a gran escala a la que las fuerzas del orden pueden atacar mediante la incautación de servidores, las vulnerabilidades de los complementos de WordPress se explotan mediante campañas de escaneo automatizadas y distribuidas que son difíciles de interrumpir.
¿Qué deben hacer los propietarios de sitios?
El parche de la versión 6.1.1 restringe el punto final de acceso temporal solo a administradores autenticados. Los propietarios de sitios que ejecutan WP Maps Pro deben actualizar inmediatamente. Aquellos que no puedan actualizar deben desactivar el complemento hasta que puedan aplicar el parche. Verificar cuentas de administrador inesperadas en la lista de usuarios de WordPress es un primer paso práctico para determinar si un sitio ya ha sido comprometido.
Una vulnerabilidad es un ejemplo de libro de texto que se repite en todo el ecosistema de WordPress: una función de soporte o depuración que otorga privilegios elevados, protegida por un mecanismo de seguridad que en realidad no restringe el acceso. Los programas de divulgación de vulnerabilidades y los investigadores de seguridad como Brown desempeñan un papel fundamental a la hora de detectar estos fallos antes de que causen daños generalizados, pero bloquear 2.858 ataques en un día demuestra que la ventana entre la divulgación y la explotación ahora se mide en horas, no en semanas.
