Hackers estão visando ativamente sites WordPress que executam versões vulneráveis do plugin **WP Maps Pro**, explorando uma falha para criar contas de administrador falsas sem a necessidade de autenticação. ## Detalhes da Vulnerabilidade A vulnerabilidade, identificada como **CVE-2026-8732**, possui uma classificação de severidade crítica e afeta as versões 6.1.0 e anteriores do **WP Maps Pro**. Ela foi descoberta e reportada pelo pesquisador de segurança **David Brown**. O **WP Maps Pro** é um plugin premium para WordPress projetado para criar mapas interativos e personalizáveis e localizadores de lojas. Ele suporta vários provedores de mapas como **Google Maps** e **OpenStreetMap**. Utilizado por empresas, sites imobiliários, sites de viagens, diretórios e outras organizações que precisam exibir múltiplos locais, o plugin ostenta mais de 15.800 vendas no **Envato Market**. ## Explicação Técnica A **CVE-2026-8732** decorre de um recurso de "acesso temporário" destinado a conceder aos funcionários de suporte do fornecedor acesso aos sites dos clientes para solução de problemas. Brown descobriu que o endpoint AJAX para este recurso era acessível a usuários não autenticados. A proteção dependia unicamente de uma verificação de nonce exposta publicamente no JavaScript frontend, tornando-a ineficaz. Isso permite que atacantes enviem uma requisição elaborada que aciona a criação de um novo usuário WordPress com privilégios de administrador. O ataque então gera um URL de login sem senha e o envia para um sistema remoto. Ao visitar este URL, o atacante é automaticamente autenticado na conta de administrador recém-criada, contornando requisitos de senha ou outros métodos de verificação. ## Exploração Ativa Pesquisadores da **Defiant**, uma empresa de segurança para WordPress, observaram tentativas ativas de exploração, bloqueando mais de 3.600 tentativas nas últimas 24 horas.  "Quando a requisição é feita com um parâmetro `check_temp` definido como `false`, a função cria um novo usuário WordPress via `wp_insert_user()` com a função hardcoded de administrador, um nome de usuário gerado aleatoriamente e o endereço de e-mail hardcoded `[email protected]`", explicam os pesquisadores da **Wordfence**. "A função então gera um 'magic login URL' usando `generate_login_link()`, o armazena como meta de usuário e o retorna no corpo da resposta." ## Impacto O acesso em nível de administrador permite que atacantes injetem backdoors persistentes, modifiquem conteúdo, acessem dados privados, implementem web shells, instalem plugins maliciosos e assumam completamente o controle do site. ## Remediação Brown relatou a falha à **Wordfence** em 24 de março. O fornecedor foi notificado em 16 de maio após validação. Em 20 de maio, o **WP Maps Pro** 6.1.1 foi lançado, corrigindo a **CVE-2026-8732**. Administradores de sites são fortemente aconselhados a atualizar seus plugins imediatamente para mitigar o risco de exploração.  ## A Lacuna de Validação: Pentesting Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentesting automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se mantêm. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)