Los hackers están atacando activamente sitios web de WordPress que ejecutan versiones vulnerables del plugin **WP Maps Pro**, explotando una falla para crear cuentas de administrador falsas sin necesidad de autenticación. ## Detalles de la Vulnerabilidad La vulnerabilidad, identificada como **CVE-2026-8732**, tiene una calificación de severidad crítica y afecta a las versiones 6.1.0 y anteriores de **WP Maps Pro**. Fue descubierta y reportada por el investigador de seguridad **David Brown**. **WP Maps Pro** es un plugin premium de WordPress diseñado para crear mapas interactivos y personalizables, así como localizadores de tiendas. Soporta varios proveedores de mapas como **Google Maps** y **OpenStreetMap**. Utilizado por empresas, sitios web inmobiliarios, sitios de viajes, directorios y otras organizaciones que necesitan mostrar múltiples ubicaciones, el plugin cuenta con más de 15,800 ventas en **Envato Market**. ## Explicación Técnica **CVE-2026-8732** se origina en una función de "acceso temporal" destinada a otorgar al personal de soporte del proveedor acceso a los sitios de los clientes para la resolución de problemas. Brown descubrió que el endpoint AJAX para esta función era accesible para usuarios no autenticados. La protección dependía únicamente de una verificación de nonce expuesta públicamente en JavaScript del lado del cliente, lo que la hacía ineficaz. Esto permite a los atacantes enviar una solicitud manipulada que activa la creación de un nuevo usuario de WordPress con privilegios de administrador. El ataque luego genera una URL de inicio de sesión sin contraseña y la envía a un sistema remoto. Al visitar esta URL, el atacante se autentica automáticamente en la cuenta de administrador recién creada, eludiendo los requisitos de contraseña u otros métodos de verificación. ## Explotación Activa Investigadores de **Defiant**, una empresa de seguridad de WordPress, han observado intentos de explotación activa, bloqueando más de 3,600 intentos en las últimas 24 horas.  "Cuando la solicitud se realiza con un parámetro `check_temp` establecido en `false`, la función crea un nuevo usuario de WordPress a través de `wp_insert_user()` con el rol codificado de administrador, un nombre de usuario generado aleatoriamente y la dirección de correo electrónico codificada `[email protected]`", explican los investigadores de **Wordfence**. "La función luego genera una 'URL de inicio de sesión mágica' usando `generate_login_link()`, la almacena como metadatos del usuario y la devuelve en el cuerpo de la respuesta." ## Impacto El acceso a nivel de administrador permite a los atacantes inyectar backdoors persistentes, modificar contenido, acceder a datos privados, desplegar web shells, instalar plugins maliciosos y tomar el control total del sitio web. ## Remediación Brown informó de la falla a **Wordfence** el 24 de marzo. El proveedor fue notificado el 16 de mayo después de la validación. El 20 de mayo, se lanzó **WP Maps Pro** 6.1.1, corrigiendo **CVE-2026-8732**. Se recomienda encarecidamente a los administradores de sitios web que actualicen sus plugins de inmediato para mitigar el riesgo de explotación.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas automatizadas de pruebas de penetración ofrecen un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)