WP Maps Pro finisce sotto attacco per una vulnerabilità critica che può mettere a rischio i siti WordPress rimasti a versioni non aggiornate del plugin.
La falla è stata sfruttata il 1° giugno 2026 in una campagna mirata contro installazioni esposte e permette, nei casi più gravi, di creare nuovi account con privilegi di amministratore. Il rischio è concreto: un attaccante potrebbe ottenere il controllo del sito, modificare contenuti, installare codice malevolo o compromettere dati e configurazioni. Per chi usa WP Maps Pro, l’aggiornamento del plugin e il controllo degli utenti amministratori diventano quindi passaggi da fare subito.
CVE-2026-8732, la falla che apre la porta agli account admin
La vulnerabilità, registrata come CVE-2026-8732, riguarda WP Maps Pro, plugin usato per creare mappe personalizzate, localizzatori di negozi e strumenti basati su Google Maps o OpenStreetMap. Secondo i dati riportati su Envato Market, il componente è presente su oltre 15.000 siti. Un numero tutt’altro che trascurabile, soprattutto nel mondo WordPress, dove ogni plugin molto diffuso diventa presto un bersaglio interessante.
A descrivere il problema è stato il ricercatore David Brown: nelle versioni 6.1.0 e precedenti, un aggressore poteva usare una funzione del plugin per creare un nuovo utente WordPress con ruolo amministrativo, senza passare dai normali controlli. Il punteggio assegnato alla falla è 9,8 su 10, quindi in fascia critica. Il punto più delicato, segnalato anche dai ricercatori di Defiant, la società dietro Wordfence, è la creazione di un utente administrator con un indirizzo email già scritto nel codice: support@flippercode.com. Un automatismo nato per funzioni interne, ma trasformato in un varco.
Oltre 3.600 tentativi in un giorno: l’allarme di Wordfence
La falla non è rimasta sulla carta. Wordfence ha fatto sapere di aver visto e bloccato più di 3.600 tentativi di attacco in appena 24 ore. Un segnale chiaro: la vulnerabilità è già finita nei radar di gruppi criminali e scanner automatici. È uno schema noto. Appena un problema diventa pubblico, partono le scansioni su larga scala. I ricercatori di Defiant hanno spiegato che, inviando una richiesta con il parametro check_temp impostato su false, la funzione vulnerabile crea un nuovo utente tramite wp_insert_user().
L’account riceve un nome casuale, il ruolo di amministratore e l’email predefinita. Subito dopo, il plugin genera una sorta di magic login URL, la salva nei metadati dell’utente e la restituisce nella risposta. In parole semplici: chi sfrutta la falla può ottenere un link di accesso già pronto. Da lì, modificare contenuti, installare plugin malevoli o sottrarre dati può diventare questione di poco. “La funzione restituisce il link nel corpo della risposta”, hanno spiegato i ricercatori. Un dettaglio che rende l’abuso più diretto e molto più rischioso per i siti non protetti.
Patch 6.1.1, cosa devono fare subito i siti WordPress con WP Maps Pro
La correzione è arrivata il 20 maggio 2026, quattro giorni dopo la prima segnalazione, con WP Maps Pro 6.1.1. Chi amministra siti che usano il plugin dovrebbe controllare subito la versione installata e procedere con l’aggiornamento, soprattutto se il componente è attivo su pagine pubbliche o su siti aziendali con traffico regolare. In queste ore la priorità è verificare la presenza di utenti amministratori sospetti, in particolare account creati da poco o associati a indirizzi non riconosciuti.
Vale la pena anche controllare i log del server, cercando richieste anomale legate al parametro check_temp, e chiudere eventuali sessioni attive non identificate. Sono controlli rapidi, ma possono evitare danni seri. Il caso ricorda ancora una volta un punto ben noto agli amministratori: WordPress, proprio perché è così diffuso, resta uno dei bersagli preferiti dagli attaccanti. Plugin e temi, anche premium, vanno tenuti aggiornati. Non è burocrazia tecnica. È la prima linea di difesa.
