- Los investigadores han revelado una falla crítica en WP Map Pro que permite a los atacantes crear cuentas de administrador codificadas
- Exploit activo: Wordfence bloqueó más de 3600 intentos en un día
- Parche lanzado el 20 de mayo (v6.1.1); Los usuarios deben actualizar inmediatamente
Los delincuentes están explotando activamente una vulnerabilidad crítica en un popular complemento de WordPress para crear cuentas de administrador y así apoderarse de sitios web completos. Esto es según David Brown (quien fue el primero en revelar la falla) y varios investigadores de seguridad, incluido Defiant, quienes confirmaron el salvaje intento de explotación.
El complemento en cuestión se llama WP Maps Pro, un complemento premium de WordPress que se utiliza para crear mapas personalizables, localizadores de tiendas interactivos y similares utilizando Google Maps u OpenStreetMap. El complemento es utilizado actualmente por más de 15.000 sitios web, según cifras de Envato Market.
Según la investigación de Brown, el complemento padecía una vulnerabilidad de “elevación de privilegios mediante la creación de una cuenta de administrador” que permitía a los actores de amenazas crear un nuevo usuario de WordPress con una función de administrador codificada. La vulnerabilidad ahora se rastrea como CVE-2026-8732 y tiene una puntuación de gravedad de 9,8/10 (crítica). Se encuentra en la versión 6.1.0 y anteriores.
Aplicar una solución
Defiant, la empresa de ciberseguridad detrás de Wordfence, dijo que sus investigadores observaron y detuvieron más de 3.600 intentos de explotación en solo un día.
“Cuando la solicitud se establece en falsa con un parámetro check_temp, la función crea un nuevo usuario de WordPress a través de wp_insert_user() con el rol codificado de administrador, un nombre de usuario generado aleatoriamente y la dirección de correo electrónico codificada support@flippercode.com”, dijeron los investigadores. “La función luego genera una” URL de inicio de sesión mágica “usando generate_login_link(), la almacena como meta del usuario y la devuelve en el cuerpo de la respuesta”.
La solución se publicó cuatro días después del lanzamiento inicial el 20 de mayo. Se recomienda a los usuarios que actualicen a la versión 6.1.1 lo antes posible para evitar ser atacados.
Dado que WordPress impulsa gran parte de Internet hoy en día, es una de las plataformas más específicas que existen. En este tipo de ataques se abusa constantemente del vasto ecosistema de complementos y temas, tanto gratuitos como premium.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
