Des pirates informatiques ciblent des sites WordPress qui utilisent une version vulnérable du plugin WP Maps Pro. Cette faille leur permet de créer des comptes administrateurs malveillants sans aucune authentification.
Cette vulnérabilité, référencée sous le code CVE-2026-8732, est d’une gravité critique. Elle touche les versions 6.1.0 et antérieures du plugin. C’est le chercheur en sécurité David Brown qui l’a découverte et signalée.
WP Maps Pro est un plugin WordPress premium. Il sert à créer des cartes interactives personnalisables et des localisateurs de points de vente. Il fonctionne avec plusieurs fournisseurs de cartes, comme Google Maps ou OpenStreetMap.
Ce plugin est utilisé par des entreprises, des sites immobiliers, des agences de voyage ou des annuaires qui doivent afficher plusieurs lieux sur une carte. Il a été vendu plus de 15 800 fois sur la plateforme Envato Market.
La faille CVE-2026-8732 trouve son origine dans une fonctionnalité d’accès temporaire. Cette fonction est conçue pour que l’assistance technique du développeur puisse accéder aux sites clients et résoudre des problèmes.
David Brown a constaté que le point d’accès AJAX utilisé par cette fonction était accessible aux utilisateurs non authentifiés. Sa sécurité reposait uniquement sur une vérification par nonce exposée publiquement dans le code JavaScript frontal, ce qui rendait la protection inefficace.
Un attaquant peut donc envoyer une requête spécifiquement conçue. Cette requête déclenche un code qui crée un nouvel utilisateur WordPress, lui attribue le rôle d’administrateur, génère une URL de connexion sans mot de passe et l’envoie à un système distant.
Quand l’attaquant visite cette URL, il est automatiquement authentifié sur le nouveau compte administrateur. Aucun mot de passe ni autre vérification n’est nécessaire.
Les experts de la société de sécurité Defiant, spécialisée dans WordPress, ont observé des tentatives d’exploitation de cette vulnérabilité. Ils ont bloqué plus de 3600 attaques au cours des dernières 24 heures.
Source : Wordfence
Les chercheurs expliquent : « Lorsque la requête est envoyée avec un paramètre ‘check_temp’ défini sur ‘false’, la fonction crée un nouvel utilisateur WordPress via ‘wp_insert_user()’. Ce compte reçoit le rôle d’administrateur en dur, un nom d’utilisateur généré aléatoirement et l’adresse email codée ‘support@flippercode.com’. »
« La fonction génère ensuite une ‘URL de connexion magique’ avec ‘generate_login_link()’. Elle la stocke en tant que métadonnée utilisateur et la renvoie dans le corps de la réponse. »
Un accès au niveau administrateur donne aux attaquants un contrôle complet. Ils peuvent injecter des portes dérobées persistantes, modifier le contenu, accéder aux données privées, déployer des web shells, installer des plugins malveillants et prendre le contrôle total du site.
David Brown a signalé cette faille à Wordfence le 24 mars. L’éditeur du plugin a été averti le 16 mai, après que l’exploit a été validé.
La version 6.1.1 de WP Maps Pro, qui corrige la vulnérabilité CVE-2026-8732, a été publiée le 20 mai. Les administrateurs de sites web doivent mettre à jour leur plugin de toute urgence, car une activité malveillante a déjà été constatée.