Los actores de amenazas están intentando explotar activamente una falla de seguridad crítica que afecta a WP Maps Pro, un complemento de WordPress que ha tenido más de 15,000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios susceptibles.
WP Maps Pro permite a los propietarios de sitios incorporar Google Maps y OpenStreetMap personalizables con marcadores, listados y funciones de ubicación avanzadas en sitios de WordPress. Se utiliza como herramienta de localización de tiendas, lo que facilita a los usuarios encontrar ubicaciones cercanas, ver detalles de listados y obtener direcciones.
La vulnerabilidad en cuestión es CVE-2026-8732 (Puntuación CVSS: 9,8), un error de escalada de privilegios que permite a atacantes no autenticados crear un usuario de WordPress con permisos administrativos, permitiéndoles efectivamente tomar el control de un sitio.
La deficiencia afecta a todas las versiones del complemento anteriores a la 6.1.0 incluida. Se ha solucionado en la versión 6.1.1. Al investigador de seguridad David Brown se le atribuye el mérito de descubrir e informar la falla.
En un nivel alto, el problema tiene su origen en una característica de «acceso temporal» que está diseñada para permitir que el personal de soporte inicie sesión en el sitio de un cliente durante la resolución de problemas. Debido a que este proceso permite a los usuarios no autenticados invocar la función «wpgmp_temp_access_support()» sin las comprobaciones adecuadas, en última instancia les permite crear un usuario administrador.
«Esto se debe a que la acción wpgmp_temp_access_ajax AJAX está registrada con wp_ajax_nopriv_ y protegida solo por una verificación nonce usando el nonce fc-call-nonce, que se incrusta públicamente en cada página frontal a través de wp_localize_script como el campo nonce del objeto JavaScript wpgmp_local, lo que hace que la verificación sea ineficaz como mecanismo de control de acceso», dijo Wordfence.
«Esto hace posible que atacantes no autenticados invoquen el controlador wpgmp_temp_access_support con check_temp=false, que crea incondicionalmente un nuevo usuario de WordPress con el rol codificado de administrador a través de wp_insert_user() y devuelve una URL de inicio de sesión mágica que, cuando se visita, llama a wp_set_auth_cookie() para autenticar completamente al atacante como el administrador recién creado, lo que resulta en una toma completa del sitio».
El parche publicado por los mantenedores del complemento el 20 de mayo de 2026 cierra la vulnerabilidad al garantizar que solo los administradores autenticados puedan acceder al punto final.
Dicho esto, desde entonces la falla de seguridad ha sido objeto de explotación activa, y Wordfence afirmó que ha bloqueado 2.858 ataques dirigidos a este problema en las últimas 24 horas. Por lo tanto, es esencial que los propietarios de sitios actualicen sus instancias a la última versión para una protección óptima.