WP Maps Pro, vulnerabilità consente di creare account admin su WordPress

1 Giugnoe 2026 - 14:44

Una vulnerabilità critica in WP Maps Pro permette di creare account amministratore non autorizzati su siti WordPress esposti, senza credenziali e senza ulteriori verifiche. Il bug è tracciato come CVE-2026-8732, ha un punteggio CVSS pari a 9.8 e interessa tutte le versioni fino alla 6.1.0 inclusa. La correzione è arrivata con la versione 6.1.1.

WP Maps Pro è un'estensione premium per WordPress usata per creare mappe interattive e store locator, con supporto a Google Maps e OpenStreetMap. Consente di integrare marker, elenchi, schede informative, funzioni legate alla posizione e indicazioni stradali. Con oltre 15.800 vendite su Envato Market, viene adottata da aziende, siti immobiliari, portali di viaggio, directory e organizzazioni che devono mostrare più sedi o luoghi di interesse su una mappa.

ACCESSO TEMPORANEO

Il problema nasce da una funzione di "accesso temporaneo", pensata per consentire al supporto del fornitore di entrare nel sito di un cliente durante le attività di assistenza. Il ricercatore di sicurezza, David Brown, ha scoperto che l'endpoint AJAX usato da questa funzione era raggiungibile anche da utenti non autenticati e si affidava soltanto a un nonce esposto nel JavaScript del frontend. In pratica, il valore usato per superare il controllo era già disponibile nelle pagine pubbliche del sito.

Top gamma a prezzo da medio gamma? Poco F8 Ultra, compralo al miglior prezzo da Aliexpress.com a 597 euro.