ハッカーは、脆弱なバージョンの **WP Maps Pro** プラグインを実行している WordPress ウェブサイトを積極的に標的にしており、認証を必要とせずに不正な管理者アカウントを作成する脆弱性を悪用しています。 ## 脆弱性の詳細 **CVE-2026-8732** として特定されたこの脆弱性は、重大な深刻度評価を持ち、**WP Maps Pro** バージョン 6.1.0 およびそれ以前に影響します。セキュリティ研究者の **David Brown** によって発見および報告されました。 **WP Maps Pro** は、インタラクティブでカスタマイズ可能なマップや店舗ロケーターを構築するために設計されたプレミアム WordPress プラグインです。**Google Maps** や **OpenStreetMap** などのさまざまなマッププロバイダーをサポートしています。 ビジネス、不動産ウェブサイト、旅行サイト、ディレクトリ、および複数の場所を表示する必要があるその他の組織によって使用されており、**Envato Market** で 15,800 件以上の販売実績があります。 ## 技術的な説明 **CVE-2026-8732** は、ベンダーサポート担当者がトラブルシューティングのために顧客サイトにアクセスできるようにすることを目的とした「一時アクセス」機能に起因します。 Brown 氏は、この機能の AJAX エンドポイントが認証されていないユーザーにもアクセス可能であることを発見しました。保護は、フロントエンド JavaScript に公開されている nonce チェックにのみ依存しており、効果がありませんでした。 これにより、攻撃者は細工されたリクエストを送信して、管理者権限を持つ新しい WordPress ユーザーを作成させることができます。その後、攻撃はパスワードなしのログイン URL を生成し、リモートシステムに送信します。 この URL にアクセスすると、パスワード要件やその他の検証方法をバイパスして、新しく作成された管理者アカウントに攻撃者が自動的に認証されます。 ## 活発な悪用 WordPress セキュリティ企業である **Defiant** の研究者は、過去 24 時間で 3,600 件以上の試行をブロックしており、活発な悪用試行を観測しています。  「`check_temp` パラメータが `false` に設定されたリクエストが送信されると、関数は `wp_insert_user()` を介して、ハードコードされた管理者ロール、ランダムに生成されたユーザー名、およびハードコードされたメールアドレス `[email protected]` を持つ新しい WordPress ユーザーを作成します」と、**Wordfence** の研究者は説明しています。 「その後、関数は `generate_login_link()` を使用して「マジックログイン URL」を生成し、それをユーザーメタとして保存し、レスポンスボディで返します。」 ## 影響 管理者レベルのアクセスにより、攻撃者は永続的なバックドアを挿入したり、コンテンツを変更したり、プライベートデータにアクセスしたり、ウェブシェルを展開したり、悪意のあるプラグインをインストールしたり、ウェブサイトを完全に乗っ取ったりすることができます。 ## 対策 Brown 氏は 3 月 24 日に **Wordfence** にこの脆弱性を報告しました。ベンダーには、検証後に 5 月 16 日に通知されました。 5 月 20 日に **WP Maps Pro** 6.1.1 がリリースされ、**CVE-2026-8732** が修正されました。ウェブサイト管理者は、悪用のリスクを軽減するために、直ちにプラグインをアップデートすることが強く推奨されます。  ## 検証ギャップ：自動ペネトレーションテストは 1 つの質問に答える。あなたには 6 つが必要。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは 1 つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド設定が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある 6 つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)