📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers têm como alvo sites WordPress que executam uma versão vulnerável do plugin WP Maps Pro, que permite a criação de contas de administrador desonestas sem autenticação.
A vulnerabilidade, rastreada como CVE-2026-8732, tem uma classificação de gravidade crÃtica e afeta o WP Maps Pro versões 6.1.0 e anteriores. Foi descoberto e relatado pelo pesquisador de segurança David Brown.
WP Maps Pro é um plugin WordPress premium para construir mapas interativos e personalizáveis e localizadores de lojas. Suporta vários provedores de mapas, como Google Maps e OpenStreetMap.
O plugin é normalmente usado por empresas, sites imobiliários, sites de viagens, diretórios e organizações que precisam exibir vários locais em um mapa e tem mais de 15.800 vendas no Envato Market.
A vulnerabilidade CVE-2026-8732 é causada por um recurso de “acesso temporário” no plug-in, destinado a permitir que a equipe de suporte do fornecedor acesse os sites dos clientes para solução de problemas.
Brown descobriu que o endpoint AJAX usado para esse recurso era acessÃvel a usuários não autenticados e dependia apenas de uma verificação nonce exposta publicamente no JavaScript de front-end, tornando a proteção ineficaz.
Isso permite enviar uma solicitação especialmente criada que aciona o código para criar um novo usuário WordPress, atribuir a ele a função de administrador, gerar uma URL de login sem senha e enviá-la para um sistema remoto.
Depois que o invasor visita esse URL, ele é automaticamente autenticado na conta de administrador recém-criada, sem necessidade de senha ou qualquer outra verificação.
Pesquisadores da empresa de segurança WordPress Defiant observaram que os agentes de ameaças estão tentando explorar a vulnerabilidade e bloquearam mais de 3.600 tentativas nas últimas 24 horas.
Criando um usuário administrador desonestoFonte: Wordfence
“Quando a solicitação é feita com um parâmetro check_temp definido como falso, a função cria um novo usuário WordPress via wp_insert_user() com a função codificada de administrador, um nome de usuário gerado aleatoriamente e o endereço de e-mail codificado support@flippercode.com”, explicam os pesquisadores.
“A função então gera um “URL de login mágico” usando generate_login_link(), armazena-o como meta do usuário e o retorna no corpo da resposta.”
Ter acesso de administrador no site significa que os invasores podem injetar backdoors persistentes, modificar conteúdo, acessar dados privados, implantar shells da web, instalar plug-ins maliciosos e assumir o controle do site.
Brown relatou a falha ao Wordfence em 24 de março, e o fornecedor foi notificado em 16 de maio após validar a exploração.
Em 20 de maio, o WP Maps Pro 6.1.1 foi lançado com uma correção para CVE-2026-8732. Recomenda-se aos administradores de sites que atualizem seus plug-ins o mais rápido possÃvel, pois já foram observadas atividades maliciosas.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
A vulnerabilidade, rastreada como CVE-2026-8732, tem uma classificação de gravidade crÃtica e afeta o WP Maps Pro versões 6.1.0 e anteriores. Foi descoberto e relatado pelo pesquisador de segurança David Brown.
WP Maps Pro é um plugin WordPress premium para construir mapas interativos e personalizáveis e localizadores de lojas. Suporta vários provedores de mapas, como Google Maps e OpenStreetMap.
O plugin é normalmente usado por empresas, sites imobiliários, sites de viagens, diretórios e organizações que precisam exibir vários locais em um mapa e tem mais de 15.800 vendas no Envato Market.
A vulnerabilidade CVE-2026-8732 é causada por um recurso de “acesso temporário” no plug-in, destinado a permitir que a equipe de suporte do fornecedor acesse os sites dos clientes para solução de problemas.
Brown descobriu que o endpoint AJAX usado para esse recurso era acessÃvel a usuários não autenticados e dependia apenas de uma verificação nonce exposta publicamente no JavaScript de front-end, tornando a proteção ineficaz.
Isso permite enviar uma solicitação especialmente criada que aciona o código para criar um novo usuário WordPress, atribuir a ele a função de administrador, gerar uma URL de login sem senha e enviá-la para um sistema remoto.
Depois que o invasor visita esse URL, ele é automaticamente autenticado na conta de administrador recém-criada, sem necessidade de senha ou qualquer outra verificação.
Pesquisadores da empresa de segurança WordPress Defiant observaram que os agentes de ameaças estão tentando explorar a vulnerabilidade e bloquearam mais de 3.600 tentativas nas últimas 24 horas.
Criando um usuário administrador desonestoFonte: Wordfence
“Quando a solicitação é feita com um parâmetro check_temp definido como falso, a função cria um novo usuário WordPress via wp_insert_user() com a função codificada de administrador, um nome de usuário gerado aleatoriamente e o endereço de e-mail codificado support@flippercode.com”, explicam os pesquisadores.
“A função então gera um “URL de login mágico” usando generate_login_link(), armazena-o como meta do usuário e o retorna no corpo da resposta.”
Ter acesso de administrador no site significa que os invasores podem injetar backdoors persistentes, modificar conteúdo, acessar dados privados, implantar shells da web, instalar plug-ins maliciosos e assumir o controle do site.
Brown relatou a falha ao Wordfence em 24 de março, e o fornecedor foi notificado em 16 de maio após validar a exploração.
Em 20 de maio, o WP Maps Pro 6.1.1 foi lançado com uma correção para CVE-2026-8732. Recomenda-se aos administradores de sites que atualizem seus plug-ins o mais rápido possÃvel, pois já foram observadas atividades maliciosas.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfÃcies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #bug #do #wp #maps #pro #explorado #para #criar #contas #de #administrador #em #sites #wordpress
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário