Hackers maken misbruik van een kritieke kwetsbaarheid in de WP Maps Pro plugin voor WordPress, waarmee zij zonder authenticatie rogue beheerdersaccounts kunnen aanmaken. De kwetsbaarheid, geregistreerd als CVE-2026-8732, treft versies 6.1.0 en ouder van de plugin en werd ontdekt door securityonderzoeker David Brown.

WP Maps Pro is een premium plugin die interactieve en aanpasbare kaarten biedt, met ondersteuning voor meerdere kaartleveranciers zoals Google Maps en OpenStreetMap. De plugin wordt veel gebruikt door bedrijven, vastgoedwebsites, reisplatforms en organisaties die meerdere locaties op een kaart willen tonen. Met meer dan 15.800 verkopen op Envato Market heeft de plugin een brede gebruikersbasis.

De kwetsbaarheid ontstaat door een functie voor 'tijdelijke toegang' die bedoeld is om supportmedewerkers van de leverancier toegang te geven voor probleemoplossing. Brown ontdekte dat het AJAX-endpoint voor deze functie toegankelijk is voor niet-geauthenticeerde gebruikers en alleen beveiligd wordt door een nonce in frontend JavaScript, wat onvoldoende bescherming biedt. Hierdoor kunnen kwaadwillenden een speciaal verzoek sturen dat een nieuwe WordPress-gebruiker aanmaakt met de rol van beheerder, een wachtwoordloze login-URL genereert en deze naar een externe server verzendt.

Zodra de aanvaller deze URL bezoekt, wordt automatisch ingelogd op het nieuw aangemaakte beheerdersaccount zonder verdere verificatie. Dit geeft volledige controle over de website, waardoor aanvallers persistente backdoors kunnen installeren, content kunnen wijzigen, toegang tot gevoelige data krijgen, webshells kunnen plaatsen en kwaadaardige plugins kunnen installeren. Beveiligingsonderzoekers van WordPress-beveiligingsbedrijf Defiant meldden dat er in de afgelopen 24 uur meer dan 3.600 pogingen zijn geblokkeerd om deze kwetsbaarheid te misbruiken.

Volgens de onderzoekers wordt bij een verzoek met de parameter check_temp op false een nieuwe gebruiker aangemaakt met een willekeurige gebruikersnaam, de rol van beheerder en het e-mailadres support@flippercode.com. Vervolgens wordt een magische login-URL gegenereerd en teruggegeven in de respons.

David Brown meldde de kwetsbaarheid op 24 maart aan Wordfence, waarna de exploit op 16 mei werd bevestigd. Op 20 mei werd WP Maps Pro versie 6.1.1 uitgebracht met een patch voor CVE-2026-8732. Websitebeheerders wordt geadviseerd de plugin zo snel mogelijk te updaten vanwege de waargenomen kwaadaardige activiteiten.