北京
一款在Envato Market上销量突破15,000份的WordPress地图插件正成为攻击者眼中的香饽饽。WP Maps Pro被发现存在CVSS评分高达9.8的致命漏洞,编号CVE-2026-8732。安全厂商Wordfence监测数据显示,仅过去24小时内就拦截了2,858次针对该漏洞的攻击尝试,攻击烈度远超常规。
WP Maps Pro的核心卖点是让站长能在页面上嵌入可定制的谷歌地图和OpenStreetMap。商户用它做店面定位工具,消费者可以快速找到附近门店、查看详情、获取导航路线。这个看似纯粹的功能型插件,暗藏一个为售后支持设计的"临时访问"机制,正是这个机制撕开了安全防线。
安全研究员David Brown发现并报告了这个漏洞。问题出在插件的临时访问功能上——设计本意是让技术支持人员在排查问题时能登录客户站点。但实现过程中,未经认证的攻击者可以调用 wpgmp_temp_access_support() 函数,由于缺乏有效的权限验证,直接触发了管理员账号的创建流程。
Wordfence在技术分析中指出,wpgmp_temp_access_ajax 这个AJAX动作通过 wp_ajax_nopriv_ 注册,其唯一的防护措施是基于 fc-call-nonce 这个随机数的校验。致命的是,这个随机数通过 wp_localize_script 被公开嵌入到每个前端页面中,作为 wpgmp_local JavaScript对象的nonce字段对外暴露。这意味着所谓的访问控制机制形同虚设,攻击者能轻松绕过。
绕过验证后的攻击路径非常直接:攻击者调用处理程序并设置 check_temp=false 参数,系统就会通过 wp_insert_user() 无条件创建一个角色硬编码为管理员的新WordPress用户。随后返回一个魔法登录链接,访问该链接会触发 wp_set_auth_cookie(),让攻击者以新创建的管理员身份完成完整认证。从发起到完全控制站点,整个过程无需任何特权。
受影响范围覆盖6.1.0及之前的所有插件版本。开发方在2026年5月20日释出6.1.1版本完成修复,核心调整是将该接口限制为仅允许已认证的管理员访问。鉴于漏洞已在野外被积极利用,持有该插件许可证的站点所有者应立即更新至最新版本,避免站点被植入恶意管理员账号从而导致数据泄露或完全被控。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
