WP Maps ProのCVSS 9.8脆弱性が悪用中——WordPress管理者アカウントを無断作成
WP Maps ProのCVSS 9.8脆弱性が悪用中——WordPress管理者アカウントを無断作成
| 項目 | 内容 |
|---|---|
| ジャンル | セキュリティ |
| 日付 | 2026-06-02 |
| 元記事 | The Hacker News |
要約
Envato Marketで15,000件以上の販売実績を持つWordPressプラグイン「WP Maps Pro」に、CVSS スコア9.8の重大な権限昇格脆弱性(CVE-2026-8732)が発見・悪用されている。バージョン6.1.0以前の全バージョンが対象で、AJAXアクションがwp_ajax_nopriv_(未認証ユーザー向け)で登録されているうえ、保護に使われているnonceがフロントエンドページに公開埋め込みされており実質的に無効化されている。攻撃者は認証なしでwpgmp_temp_access_support()を呼び出し、WordPress管理者アカウントの作成やマジックログインURLの取得が可能。Wordfenceは24時間以内に2,858件の攻撃をブロックしており、積極的な悪用が確認されている。脆弱性は2026年5月20日公開のバージョン6.1.1で修正済み。使用中のサイト管理者は直ちにアップデートが必要。