سوءاستفاده از باگ WP Maps Pro برای ساخت حساب مدیر در وردپرس

هکرها در حال هدف قرار دادن وب‌سایت‌های وردپرسی هستند که از نسخه آسیب‌پذیر افزونه WP Maps Pro استفاده می‌کنند؛ افزونه‌ای که این امکان را فراهم می‌کند تا بدون نیاز به احراز هویت، حساب‌های کاربری جعلی با سطح دسترسی مدیر ایجاد شود.

این آسیب‌پذیری که با شناسه CVE-2026-8732 ردیابی می‌شود، دارای سطح شدت بحرانی است و نسخه‌های ۶٫۱٫۰ و قدیمی‌تر افزونه WP Maps Pro را تحت تأثیر قرار می‌دهد. این نقص امنیتی توسط پژوهشگر امنیتی David Brown کشف و گزارش شده است.

افزونه WP Maps Pro یک افزونه تجاری وردپرس برای ساخت نقشه‌های تعاملی، قابل سفارشی‌سازی و مکان‌یاب فروشگاه‌ها است. این افزونه از چندین ارائه‌دهنده نقشه از جمله Google Maps و OpenStreetMap پشتیبانی می‌کند.

این افزونه معمولاً توسط کسب‌وکارها، وب‌سایت‌های املاک، سایت‌های گردشگری، دایرکتوری‌ها و سازمان‌هایی استفاده می‌شود که نیاز دارند چندین موقعیت مکانی را روی نقشه نمایش دهند. WP Maps Pro تاکنون بیش از ۱۵٬۸۰۰ فروش در بازار Envato Market داشته است.

آسیب‌پذیری CVE-2026-8732 ناشی از قابلیتی به نام «دسترسی موقت» در این افزونه است؛ قابلیتی که با هدف فراهم کردن دسترسی برای نیروهای پشتیبانی فروشنده به سایت‌های مشتریان، جهت عیب‌یابی و رفع مشکلات طراحی شده بود.

براون دریافت که نقطه پایانی AJAX مورد استفاده برای این قابلیت، برای کاربران احراز هویت‌نشده نیز قابل دسترسی بوده و تنها به بررسی یک nonce متکی بوده است؛ nonceای که در کد جاوااسکریپت سمت کاربر به‌صورت عمومی در دسترس قرار داشته و همین موضوع باعث بی‌اثر شدن این مکانیزم حفاظتی شده است.

این نقص به مهاجمان اجازه می‌دهد با ارسال یک درخواست دستکاری‌شده، کدی را اجرا کنند که یک کاربر جدید در وردپرس ایجاد می‌کند، نقش مدیر را به آن اختصاص می‌دهد، یک لینک ورود بدون رمز عبور تولید می‌کند و آن را به یک سامانه راه دور ارسال می‌کند.

پس از آن، مهاجم با مراجعه به این لینک، به‌صورت خودکار وارد حساب مدیر تازه ایجادشده می‌شود؛ بدون آنکه نیاز به رمز عبور یا هرگونه فرایند تأیید هویت دیگری وجود داشته باشد.

پژوهشگران شرکت امنیتی وردپرس Defiant اعلام کرده‌اند که عوامل تهدید در حال تلاش برای سوءاستفاده از این آسیب‌پذیری هستند و طی ۲۴ ساعت گذشته، بیش از ۳٬۶۰۰ تلاش برای بهره‌برداری از این نقص را مسدود کرده‌اند.

این پژوهشگران توضیح می‌دهند:

«زمانی که درخواست با پارامتر check_temp و مقدار false ارسال می‌شود، تابع مربوطه از طریق wp_insert_user() یک کاربر جدید وردپرس ایجاد می‌کند. این کاربر با نقش ثابت‌شده‌ی administrator، یک نام کاربری تصادفی و آدرس ایمیل از پیش تعیین‌شده‌ی support@flippercode.com ساخته می‌شود.»

آن‌ها در ادامه افزودند:

«سپس این تابع با استفاده از generate_login_link() یک “لینک ورود جادویی” تولید می‌کند، آن را به‌عنوان متادیتای کاربر ذخیره کرده و در بدنه پاسخ بازمی‌گرداند.»

دسترسی در سطح مدیر به سایت به این معناست که مهاجمان می‌توانند درهای پشتی پایدار تزریق کنند، محتوای سایت را تغییر دهند، به داده‌های خصوصی دسترسی پیدا کنند، وب‌شل مستقر کنند، افزونه‌های مخرب نصب کنند و در نهایت کنترل کامل وب‌سایت را در اختیار بگیرند.

براون این نقص امنیتی را در تاریخ ۲۴ مارس به Wordfence گزارش کرد و پس از اعتبارسنجی اکسپلویت، فروشنده در تاریخ ۱۶ مه از موضوع مطلع شد.

در تاریخ ۲۰ مه، نسخه WP Maps Pro 6.1.1 همراه با وصله امنیتی برای رفع آسیب‌پذیری CVE-2026-8732 منتشر شد. به مدیران وب‌سایت‌ها توصیه می‌شود افزونه‌های خود را در سریع‌ترین زمان ممکن به‌روزرسانی کنند، زیرا فعالیت‌های مخرب مرتبط با این آسیب‌پذیری پیش‌تر مشاهده شده است.