Ανησυχία προκαλεί η νέα ευπάθεια που έχει εντοπιστεί στην προσθήκη WP Maps Pro για WordPress, καθώς δίνει τη δυνατότητα σε κακόβουλους χρήστες να δημιουργούν λογαριασμούς διαχειριστών, παρακάμπτοντας οποιονδήποτε έλεγχο ταυτότητας.
Η εν λόγω ευπάθεια αναγνωρίστηκε με τον αριθμό CVE-2026-8732 και φέρει σοβαρή επίπεδα κινδύνου, καθώς επηρεάζει τις εκδόσεις WP Maps Pro 6.1.0 και παλαιότερες. Την ανακάλυψή της έπραξε ο ειδικός σε θέματα ασφάλειας Ντέιβιντ Μπράουν, προσδιορίζοντας τις επικίνδυνες συνέπειες για τους χρήστες.
Το WP Maps Pro είναι ένα δημοφιλές πρόσθετο που χρησιμοποιείται ευρέως για τη δημιουργία διαδραστικών χαρτών, με χαρακτηριστικά που περιλαμβάνουν υποστήριξη για διάφορους προμηθευτές χαρτών, όπως Google Maps και OpenStreetMap. Πολλές επιχειρήσεις και ιστότοποι ακινήτων το επιλέγουν, καθώς έχει πάνω από 15.800 πωλήσεις στην πλατφόρμα Envato.
Η βασική αιτία της ευπάθειας είναι η επιλογή “προσωρινής πρόσβασης” που υποτίθεται ότι επιτρέπει στους υποστηρικτές να παρέχουν βοήθεια στους πελάτες. Όμως, σύμφωνα με τον Μπράουν, το AJAX endpoint που χρησιμοποιείται για αυτήν τη δυνατότητα είναι ανοικτό σε μη εξουσιοδοτημένους χρήστες, επιτρέποντάς τους να στείλουν ένα τροποποιημένο αίτημα για τη δημιουργία λογαριασμού.
Η διαδικασία αυτή οδηγεί στη δημιουργία ενός νέου λογαριασμού με ρόλο διαχειριστή και τη δημιουργία μιας “μαγικής διεύθυνσης URL” σύνδεσης, που αναθεωρεί την ταυτοποίηση του χρήστη. Έτσι, οι εισβολείς μπορούν να αποκτήσουν πλήρη έλεγχο στο site χωρίς την ανάγκη οποιασδήποτε μορφής επαλήθευσης μέσω κωδικού πρόσβασης.
Η εταιρεία ασφάλειας Wordfence έχει ήδη παρατηρήσει σημαντική αύξηση στις επιθέσεις με στόχο αυτή την ευπάθεια, αποκλείοντας περισσότερες από 3.600 προσπάθειες διάρρηξης μέσα σε μόλις 24 ώρες.
Πηγή: Wordfence
Όπως δήλωσε ο Μπράουν, η επίθεση εκτελείται με την αποστολή ενός αιτήματος που περιλαμβάνει την παράμετρο check_temp ορισμένη σε false, οδηγώντας στη δημιουργία ενός νέου χρήστη με διαχειριστικά δικαιώματα. Επιπλέον, αναγνωρίζεται μια διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για την επικοινωνία με την υποστήριξη.
Η πρόσβαση σε επίπεδο διαχειριστή δίνει στους κακόβουλους χρήστες τη δυνατότητα να εισάγουν μόνιμες ιώσεις στον ιστότοπο, να αναλαμβάνουν τον πλήρη έλεγχο και να τροποποιούν σημαντικά δεδομένα, οδηγώντας σε δυνητικά καταστροφικές συνέπειες.
Η αναφορά του ελαττώματος στο Wordfence έγινε στις 24 Μαρτίου και η εταιρεία ειδοποιήθηκε στις 16 Μαΐου, αφού επιβεβαιώθηκε η ύπαρξη του exploit. Η νεότερη έκδοση, WP Maps Pro 6.1.1, κυκλοφόρησε στις 20 Μαΐου και περιλαμβάνει τις απαραίτητες διορθώσεις.
Συνιστάται στους διαχειριστές να ενημερώνουν άμεσα τις προσθήκες τους, προκειμένου να προλάβουν οποιαδήποτε κακόβουλη δραστηριότητα.
Η χρήση αυτοματοποιημένων εργαλείων ασφάλειας παρέχει σημαντική αξία, ωστόσο είναι σημαντικό να εγγυάστε ότι τα χειριστήρια σας παραμένουν ασφαλή από απειλές. Ο παρακάτω οδηγός αναλύει 6 κρίσιμα σημεία που πρέπει να ελέγξετε.
