24 марта 2026 года специалисты компании Wordfence получили сообщение об опасной уязвимости в плагине WP Maps Pro. Это расширение для WordPress, которое позволяет встраивать на сайт карты Google с маркерами и категориями. По данным разработчиков, плагин приобрели более 15 тысяч пользователей. Обнаруженная уязвимость получила идентификатор CVE-2026-8732 и критическую оценку 9,8 балла по шкале CVSS (стандартная система оценки опасности уязвимостей). Она затрагивает все версии WP Maps Pro вплоть до 6.1.0 включительно.
В чем заключается уязвимость?
WP Maps Pro имеет функцию временного доступа, предназначенную для техподдержки. Предполагалось, что сотрудники вендора смогут входить на сайт клиента для диагностики неполадок. Однако реализация этой функции оказалась крайне небезопасной. Ключевая ошибка кроется в обработчике AJAX-запроса с именем "wpgmp_temp_access_ajax". В коде плагина этот обработчик был зарегистрирован с помощью хука "wp_ajax_nopriv_". Такая регистрация означает, что запустить процедуру может любой посетитель сайта, даже не прошедший аутентификацию.
Разработчики попытались защитить функцию проверкой nonce (одноразового токена, который должен подтверждать легитимность запроса). Но эта защита оказалась бесполезной. Проблема в том, что токен "fc-call-nonce" был встроен в каждую страницу сайта через JavaScript-объект "wpgmp_local". Любой пользователь мог просто открыть исходный код страницы и извлечь этот токен. Таким образом, злоумышленник легко обходил единственный барьер.
При вызове обработчика с параметром "check_temp=false" функция "wpgmp_temp_access_support" создавала нового пользователя WordPress. Имя генерировалось случайным образом, почтовый адрес жестко устанавливался как "support@flippercode.com", а роль назначалась "администратор". После создания аккаунта плагин генерировал "волшебную" ссылку для входа. При переходе по этой ссылке система автоматически аутентифицировала злоумышленника без запроса пароля, используя функцию "wp_set_auth_cookie()".
Последствия эксплуатации
Злоумышленник, получивший полный доступ администратора, может делать на сайте буквально всё. Он способен устанавливать вредоносные плагины, менять темы оформления, внедрять бэкдоры (скрытые точки входа для повторного доступа), похищать базы данных пользователей или размещать веб-шеллы (вредоносные скрипты для удаленного управления). По сути, сайт полностью переходит под контроль атакующего. Особенно опасна эта уязвимость для интернет-магазинов, корпоративных порталов и сайтов госучреждений, где компрометация может привести к утечке конфиденциальной информации.
Как отмечают эксперты, подобные уязвимости повышения привилегий (privilege escalation) являются одними из самых критичных. Они позволяют преодолеть все защитные механизмы сайта, поскольку атакующий получает те же права, что и владелец. В случае с WP Maps Pro атака не требует ни пароля, ни каких-либо специальных знаний - достаточно отправить один HTTP-запрос с нужными параметрами.
Как была исправлена проблема?
Разработчики плагина выпустили исправление в версии 6.1.1. Патч заключается в добавлении проверки прав доступа: теперь обработчик "wpgmp_temp_access_ajax_callback" сначала проверяет, обладает ли текущий пользователь возможностью "manage_options" (то есть является ли он администратором). Если нет, скрипт сразу возвращает ошибку 403 (запрет доступа). Таким образом, неаутентифицированные посетители больше не могут запустить создание учетной записи.
Wordfence, в свою очередь, предоставила своим премиум-подписчикам (Wordfence Premium, Care и Response) правило для межсетевого экрана (брандмауэра), блокирующее попытки эксплуатации, уже 18 мая 2026 года. Пользователи бесплатной версии Wordfence получат такую же защиту 17 июня 2026 года, то есть через 30 дней. Это стандартная практика компании, позволяющая мотивировать пользователей переходить на платные тарифы.
Рекомендации для владельцев сайтов
Всем, кто использует WP Maps Pro, настоятельно рекомендуется немедленно обновить плагин до версии 6.1.1. Если обновление невозможно, следует временно отключить расширение до установки патча. Даже если ваш сайт не имеет явных признаков взлома, отсутствие обновления оставляет дверь открытой для злоумышленников. Проверьте, не появились ли в вашей базе данных пользователи со странными именами вроде "fc_user_..." и email "support@flippercode.com". Такие аккаунты необходимо немедленно удалить.
Эта история в очередной раз напоминает, что даже популярные плагины с тысячами установок могут содержать критические ошибки. Разработчикам стоит внимательнее относиться к аутентификации и проверке прав доступа, особенно в функциях, предназначенных для технической поддержки. А пользователям - не пренебрегать своевременными обновлениями и всегда следить за новостями об уязвимостях используемых расширений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-8732
- https://www.wordfence.com/threat-intel/vulnerabilities/id/65988550-d39d-40be-8d25-647e7237062d
- https://codecanyon.net/item/advanced-google-maps-plugin-for-wordpress/5211638
- https://www.wordfence.com/blog/2026/05/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin/
