🗓️ Contexte

Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification.

🔍 Vulnérabilité

  • CVE : CVE-2026-8732, sévérité critique
  • Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market)
  • Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai
  • Correctif : Version 6.1.1 publiée le 20 mai 2026

⚙️ Mécanisme d’exploitation

La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur :

  1. L’endpoint AJAX associé est accessible sans authentification
  2. La protection repose uniquement sur un nonce exposé publiquement dans le JavaScript frontend, rendant le contrôle inefficace
  3. Une requête spécialement forgée avec le paramètre check_temp défini à false déclenche wp_insert_user() avec le rôle administrateur
  4. Un nom d’utilisateur aléatoire et l’email hardcodé support@flippercode.com sont utilisés
  5. Une URL de connexion sans mot de passe (magic login URL) est générée via generate_login_link() et retournée dans la réponse
  6. L’attaquant visite cette URL et obtient un accès administrateur complet sans aucune vérification supplémentaire

💥 Impact

Un accès administrateur permet notamment :

  • Injection de backdoors persistants
  • Déploiement de web shells
  • Installation de plugins malveillants
  • Accès aux données privées
  • Modification de contenu et prise de contrôle totale du site

📊 Activité malveillante observée

La société Defiant (Wordfence) a détecté et bloqué plus de 3 600 tentatives d’exploitation en 24 heures.

📋 Type d’article

Article de presse spécialisée combinant rapport de vulnérabilité et alerte d’exploitation active, destiné à informer les administrateurs WordPress de la nécessité de mettre à jour le plugin.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1136.001 — Create Account: Local Account (Persistence)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1505.003 — Server Software Component: Web Shell (Persistence)

IOC

  • Emails : support@flippercode.com
  • CVEs : CVE-2026-8732NVD · CIRCL

🟡 Indice de vérification factuelle : 56/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3051 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/wp-maps-pro-bug-exploited-to-create-admin-accounts-on-wordpress-sites/