WP Maps Pro exploité : des hackers s'emparent de sites WordPress

Une faille critique affecte le plugin WordPress WP Maps Pro dans ses versions 6.1.0 et antérieures. Des acteurs malveillants l'exploitent activement pour prendre le contrôle de sites web.

La vulnérabilité, référencée CVE-2026-8732, a été découverte par le chercheur en sécurité David Brown et signalée à Wordfence le 24 mars. Un correctif a été publié le 20 mai avec la version 6.1.1.

Une fonctionnalité de support détournée

La faille prend sa source dans une fonctionnalité d'accès temporaire, conçue à l'origine pour permettre aux équipes de support du plugin d'intervenir sur les sites clients à des fins de dépannage.

Le point d'entrée AJAX associé à cette fonctionnalité était accessible sans authentification. Sa protection reposait uniquement sur un contrôle de nonce exposé dans le code JavaScript côté client, ce qui rendait la vérification inopérante.

Un attaquant peut ainsi envoyer une requête spécialement construite qui déclenche la création d'un compte WordPress avec le rôle administrateur. Une URL de connexion sans mot de passe est générée automatiquement et renvoyée dans la réponse, permettant un accès immédiat au tableau de bord.

Plus de 3 600 tentatives bloquées en 24 heures

Les chercheurs de la société Defiant, spécialisée dans la protection des sites WordPress, ont observé des tentatives d'exploitation en cours. Ils indiquent avoir bloqué plus de 3 600 requêtes malveillantes sur une période de vingt-quatre heures.

Selon leur analyse, la requête crée un nouvel utilisateur via l'API WordPress avec le rôle administrateur, un nom d'utilisateur généré aléatoirement et une adresse e-mail codée en dur liée à l'éditeur du plugin.

WP Maps Pro est un plugin premium proposé sur Envato Market, avec plus de 15 800 ventes enregistrées. Il est notamment utilisé par des agences immobilières, des sites de voyage et des annuaires en ligne pour afficher des cartes interactives.

Les conséquences d'un accès administrateur non autorisé

Un accès au niveau administrateur offre un contrôle total sur un site WordPress. Un attaquant peut modifier des contenus, accéder à des données privées, installer des plugins malveillants ou déposer des portes dérobées persistantes.

Il peut également déployer des shells web qui maintiennent l'accès même après suppression du compte créé, rendant la remédiation plus complexe.

Mise à jour disponible : appliquer sans délai

La version 6.1.1 de WP Maps Pro, publiée le 20 mai, corrige la faille CVE-2026-8732. Les administrateurs de sites utilisant ce plugin sont invités à effectuer la mise à jour immédiatement, compte tenu de l'exploitation active déjà constatée.

La présence d'une activité malveillante documentée dès la divulgation publique souligne l'importance d'appliquer rapidement les correctifs sur les plugins WordPress à fort taux de déploiement.

Source : Bleeping Computer