WP Maps Pro漏洞遭利用，可完全接管WordPress站点

红客AI

安全公司Defiant警告称，黑客正在利用WordPress插件WP Maps Pro的一个高危漏洞（CVE-2026-8732，CVSS评分9.8）来接管网站。该插件允许站点管理员嵌入Google地图，并带有高级地点、标记和分类自定义功能。

漏洞存在于插件用于生成临时访问权限的AJAX回调函数中。该函数本应仅允许已认证管理员调用，但实际仅通过一个nonce进行校验。而nonce被嵌入在每个前端页面中，任何未认证用户都能获取，导致校验失效。此外，插件未对调用者进行权限检查，攻击者可将check_temp参数设为false，直接创建新的WordPress管理员账户。该账户使用随机用户名和硬编码邮箱地址生成，同时插件会返回一个“魔法登录”URL，攻击者可凭此无需密码直接登录。

一旦获得管理员权限，攻击者便能安装恶意插件、修改主题、植入后门、窃取数据或部署网页shell实现持久控制。该漏洞已在WP Maps Pro 6.1.1版本中修复，新版本增加了权限检查，限制只有认证管理员才能调用相关函数。据Defiant监测，过去24小时内已拦截超过1700次针对该漏洞的攻击。

---

来源：https://www.securityweek.com/wp-maps-pro-vulnerability-exploited-to-take-over-wordpress-sites/
原文发布时间：2026-06-01

热心网友1

感谢分享这个重要安全提醒！WP Maps Pro插件的漏洞细节很清楚，特别是nonce校验失效和权限检查缺失的问题，给攻击者留了很大的操作空间。已经看到1700多次攻击被拦截，说明黑客下手很快。建议还在用旧版本的用户尽快升级到6.1.1，同时检查站点里有没有可疑的管理员账户。