Uma vulnerabilidade crítica no plugin WordPress WP Maps Pro permite que atacantes criem contas de administrador sem autenticação. A falha CVE-2026-8732, corrigida na versão 6.1.1, está sendo explorada ativamente com mais de 3.600 tentativas bloqueadas em 24 horas pela Wordfence. O plugin possui mais de 15.800 vendas no Envato Market e é usado em sites de negócios, imobiliárias e diretórios.
Como a falha funciona
A vulnerabilidade está no recurso de “acesso temporário” do WP Maps Pro, projetado para que a equipe de suporte do plugin acessasse o painel administrativo durante o diagnóstico de problemas. O endpoint AJAX responsável por essa funcionalidade era acessível a qualquer visitante não autenticado e protegido apenas por um nonce exposto publicamente no JavaScript do frontend.
Quando o atacante envia uma requisição com o parâmetro check_temp definido como falso, a função wp_insert_user() cria um novo usuário WordPress com papel de administrador, nome aleatório e e-mail hardcoded support@flippercode.com. Em seguida, gera uma URL de login mágico — um link que concede acesso automático sem senha — e a retorna no corpo da resposta HTTP.
O fluxo completo do ataque é simples: uma única requisição HTTP especial cria um administrador oculto e devolve um link de acesso direto. Basta visitar a URL para obter controle total do site, o que caracteriza escalada de privilégio.
Cronologia da vulnerabilidade
- 24 de março de 2026 — Pesquisador David Brown reporta a falha à Wordfence após identificar o endpoint sem autenticação
- 16 de maio — Desenvolvedora FlipperCode é notificada pela Wordfence após validação da exploração
- 20 de maio — WP Maps Pro 6.1.1 é lançado com a correção da falha
- 31 de maio — Wordfence registra mais de 3.600 tentativas de exploração bloqueadas em 24 horas, confirmando campanha ativa
Impacto do ataque
Com acesso de administrador, o atacante pode injetar backdoors persistentes no tema ou em plugins, modificar conteúdo do site, acessar dados privados do banco de dados WordPress, instalar web shells para acesso remoto e redirecionar visitantes para páginas maliciosas. Em sites de e-commerce, o invasor pode interceptar dados de pagamento e informações pessoais de clientes.
O WP Maps Pro é popular entre negócios locais, imobiliárias, sites de turismo e diretórios que exibem mapas interativos com marcadores do Google Maps e OpenStreetMap. A ampla base de instalações torna o plugin um alvo atrativo para ataques automatizados em escala.
| Dado | Detalhe |
|---|---|
| CVE | CVE-2026-8732 |
| Severidade | Crítica |
| Plugin | WP Maps Pro |
| Versões afetadas | 6.1.0 e anteriores |
| Versão corrigida | 6.1.1 (20 de maio de 2026) |
| Vendas no Envato | 15.800+ |
| Tentativas em 24h | 3.600+ bloqueadas |
| Descobridor | David Brown (via Wordfence) |
Como se proteger
A atualização para a versão 6.1.1 ou superior é obrigatória e deve ser feita imediatamente no painel do WordPress. Após a atualização, revise a lista de usuários administradores e remova qualquer conta desconhecida, especialmente com o e-mail support@flippercode.com. Verifique os logs de acesso por URLs de login suspeitas e analise os arquivos do tema e plugins instalados em busca de código malicioso inserido como parte da análise de vulnerabilidades.
Como medida preventiva, implemente autenticação de dois fatores no painel administrativo do WordPress e restrinja o acesso à área /wp-admin/ por endereço IP quando possível. Plugins de segurança como Wordfence já bloqueiam as tentativas de exploração conhecidas, mas a correção do plugin é indispensável.