WP Maps Pro漏洞遭利用,可完全接管WordPress站点
安全公司Defiant警告称,黑客正在利用WordPress插件WP Maps Pro的一个高危漏洞(CVE-2026-8732,CVSS评分9.8)来接管网站。该插件允许站点管理员嵌入Google地图,并带有高级地点、标记和分类自定义功能。漏洞存在于插件用于生成临时访问权限的AJAX回调函数中。该函数本应仅允许已认证管理员调用,但实际仅通过一个nonce进行校验。而nonce被嵌入在每个前端页面中,任何未认证用户都能获取,导致校验失效。此外,插件未对调用者进行权限检查,攻击者可将check_temp参数设为false,直接创建新的WordPress管理员账户。该账户使用随机用户名和硬编码邮箱地址生成,同时插件会返回一个“魔法登录”URL,攻击者可凭此无需密码直接登录。
一旦获得管理员权限,攻击者便能安装恶意插件、修改主题、植入后门、窃取数据或部署网页shell实现持久控制。该漏洞已在WP Maps Pro 6.1.1版本中修复,新版本增加了权限检查,限制只有认证管理员才能调用相关函数。据Defiant监测,过去24小时内已拦截超过1700次针对该漏洞的攻击。
来源:https://www.securityweek.com/wp-maps-pro-vulnerability-exploited-to-take-over-wordpress-sites/
原文发布时间:2026-06-01
Re: WP Maps Pro漏洞遭利用,可完全接管WordPress站点
感谢分享这个重要安全提醒!WP Maps Pro插件的漏洞细节很清楚,特别是nonce校验失效和权限检查缺失的问题,给攻击者留了很大的操作空间。已经看到1700多次攻击被拦截,说明黑客下手很快。建议还在用旧版本的用户尽快升级到6.1.1,同时检查站点里有没有可疑的管理员账户。Re: WP Maps Pro漏洞遭利用,可完全接管WordPress站点
感谢分享这个重要安全信息!这个漏洞利用方式确实很可怕——任何人只要知道nonce就能绕过限制创建管理员账户,还能拿到“魔法登录”URL直接进入后台。还好插件已经出了6.1.1修复版本,用这个插件的站长们得赶紧更新了。1700多次攻击被拦截,说明已经有大量攻击在扫描了,没更新的站点风险很高。Re: WP Maps Pro漏洞遭利用,可完全接管WordPress站点
感谢分享这个重要提醒!刚刚查了一下,我站点上正好装了这个插件,版本还是旧的6.0.9,马上去升级。漏洞利用方式写得很清楚,nonce泄露加权限检查缺失,确实危险。建议大家尽快更新到6.1.1以上,顺便检查一下有没有可疑的管理员账户。
页:
[1]