Piratai taikosi į „WordPress“ svetaines, kuriose veikia pažeidžiama WP Maps Pro papildinio versija, leidžianti sukurti nesąžiningas administratoriaus paskyras be autentifikavimo.
Pažeidžiamumas, stebimas kaip CVE-2026-8732, turi kritinį sunkumo laipsnį ir turi įtakos WP Maps Pro 6.1.0 ir senesnėms versijoms. Jį atrado ir pranešė saugumo tyrinėtojas Davidas Brownas.
„WP Maps Pro“ yra aukščiausios kokybės „WordPress“ papildinys, skirtas kurti interaktyvius, tinkinamus žemėlapius ir parduotuvių ieškiklius. Jis palaiko kelis žemėlapių tiekėjus, tokius kaip „Google Maps“ ir „OpenStreetMap“.
Įskiepis paprastai naudojamas įmonėse, nekilnojamojo turto svetainėse, kelionių svetainėse, kataloguose ir organizacijose, kurios turi rodyti kelias vietas žemėlapyje, o „Envato Market“ parduoda daugiau nei 15 800.
Pažeidžiamumą CVE-2026-8732 sukelia įskiepio „laikinos prieigos“ funkcija, skirta leisti pardavėjo palaikymo personalui pasiekti klientų svetaines trikčių šalinimui.
Brownas nustatė, kad šiai funkcijai naudojamas AJAX galutinis taškas buvo prieinamas neautentifikuotiems naudotojams ir rėmėsi tik viešai rodomu „nonce“ patikrinimu priekinėje „JavaScript“, todėl apsauga tapo neveiksminga.
Tai leidžia siųsti specialiai sukurtą užklausą, suaktyvinančią kodą, kad būtų sukurtas naujas „WordPress“ vartotojas, priskirtas administratoriaus vaidmuo, sugeneruotas beslaptažodžio prisijungimo URL ir išsiųstas į nuotolinę sistemą.
Užpuolikui apsilankius šiame URL, jis automatiškai autentifikuojamas naujai sukurtoje administratoriaus paskyroje ir nereikia jokio slaptažodžio ar jokio kito patvirtinimo.
„WordPress“ saugos bendrovės „Defiant“ tyrėjai pastebėjo, kad grėsmės veikėjai bando išnaudoti pažeidžiamumą, ir per pastarąsias 24 valandas užblokavo daugiau nei 3600 bandymų.
Šaltinis: Wordfence
„Kai užklausa pateikiama, kai parametras check_temp nustatytas į false, funkcija sukuria naują „WordPress“ vartotoją per wp_insert_user() su užkoduotu administratoriaus vaidmeniu, atsitiktinai sugeneruotu vartotojo vardu ir užkoduotu el. pašto adresu support@flippercode.com“, – aiškina mokslininkai.
„Tada funkcija sugeneruoja „stebuklingą prisijungimo URL“ naudodami gener_login_link(), išsaugo jį kaip vartotojo meta ir grąžina atsakymo tekste.
Administratoriaus lygio prieiga prie svetainės reiškia, kad užpuolikai gali įterpti nuolatines užpakalines duris, keisti turinį, pasiekti privačius duomenis, įdiegti žiniatinklio apvalkalus, įdiegti kenkėjiškus papildinius ir perimti svetainę.
Brownas apie trūkumą „Wordfence“ pranešė kovo 24 d., o pardavėjas buvo informuotas gegužės 16 d., kai patvirtino išnaudojimą.
Gegužės 20 d. buvo išleista WP Maps Pro 6.1.1 su pataisymu CVE-2026-8732. Svetainių administratoriams rekomenduojama kuo greičiau atnaujinti savo įskiepius, nes jau buvo pastebėta kenkėjiška veikla.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar
