Des pirates ciblent activement les sites web WordPress utilisant des versions vulnérables du plugin **WP Maps Pro**, exploitant une faille pour créer des comptes administrateur non autorisés sans nécessiter d'authentification. ## Détails de la vulnérabilité La vulnérabilité, identifiée comme **CVE-2026-8732**, a une classification de sévérité critique et affecte les versions 6.1.0 et antérieures de **WP Maps Pro**. Elle a été découverte et signalée par le chercheur en sécurité **David Brown**. **WP Maps Pro** est un plugin WordPress premium conçu pour créer des cartes interactives et personnalisables ainsi que des localisateurs de magasins. Il prend en charge divers fournisseurs de cartes tels que **Google Maps** et **OpenStreetMap**. Utilisé par les entreprises, les sites immobiliers, les sites de voyage, les annuaires et d'autres organisations ayant besoin d'afficher plusieurs emplacements, le plugin affiche plus de 15 800 ventes sur le **Envato Market**. ## Explication technique **CVE-2026-8732** découle d'une fonctionnalité d'"accès temporaire" destinée à accorder au personnel de support des fournisseurs un accès aux sites clients pour le dépannage. Brown a découvert que le point d'accès AJAX pour cette fonctionnalité était accessible aux utilisateurs non authentifiés. La protection reposait uniquement sur une vérification de nonce exposée publiquement dans le JavaScript côté client, la rendant inefficace. Cela permet aux attaquants d'envoyer une requête spécialement conçue qui déclenche la création d'un nouvel utilisateur WordPress avec des privilèges d'administrateur. L'attaque génère ensuite une URL de connexion sans mot de passe et l'envoie à un système distant. La visite de cette URL authentifie automatiquement l'attaquant sur le nouveau compte administrateur créé, contournant les exigences de mot de passe ou d'autres méthodes de vérification. ## Exploitation active Des chercheurs de **Defiant**, une entreprise spécialisée dans la sécurité WordPress, ont observé des tentatives d'exploitation actives, bloquant plus de 3 600 tentatives au cours des dernières 24 heures.  "Lorsque la requête est effectuée avec un paramètre `check_temp` défini sur `false`, la fonction crée un nouvel utilisateur WordPress via `wp_insert_user()` avec le rôle d'administrateur codé en dur, un nom d'utilisateur généré aléatoirement et l'adresse e-mail codée en dur `[email protected]`", expliquent les chercheurs de **Wordfence**. "La fonction génère ensuite une 'URL de connexion magique' à l'aide de `generate_login_link()`, la stocke en tant que métadonnées utilisateur et la renvoie dans le corps de la réponse." ## Impact L'accès au niveau administrateur permet aux attaquants d'injecter des backdoors persistantes, de modifier le contenu, d'accéder à des données privées, de déployer des web shells, d'installer des plugins malveillants et de prendre le contrôle total du site web. ## Remédiation Brown a signalé la faille à **Wordfence** le 24 mars. Le fournisseur a été notifié le 16 mai après validation. Le 20 mai, **WP Maps Pro** 6.1.1 a été publié, corrigeant **CVE-2026-8732**. Il est fortement conseillé aux administrateurs de sites web de mettre à jour leurs plugins immédiatement pour atténuer le risque d'exploitation.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)