Siti WordPress in pericolo: vulnerabilità in WP Maps Pro permette a tutti di accedere come amministratore (aggiornato: 1 giugno 2026, ore 08:06)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 10 ore fa
- Pubblicato: 8 ore fa
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Una funzione di assistenza tecnica trasformata in tappeto rosso per gli attaccanti. È questa la storia della vulnerabilità critica che affligge WP Maps Pro, plugin a pagamento per WordPress con oltre 15.000 copie distribuite. La falla - identificata come CVE-2026-8732 - consente a chiunque, senza alcuna credenziale, di creare un account amministratore su qualsiasi sito che esegua una versione vulnerabile del plugin. Niente brute-force, niente ingegneria sociale, niente ricognizione preliminare. Una singola richiesta AJAX e il sito è compromesso.
Un nonce che non protegge nulla
Il problema risiede nella funzione wpgmp_temp_access_ajax_callback(), parte di un meccanismo di "accesso temporaneo" pensato per permettere al team di supporto del plugin di intervenire sui siti dei clienti durante la risoluzione dei problemi. L'idea, sulla carta, non è insensata. L'implementazione, invece, è un manuale di ciò che non si deve fare.
La funzione si affida a un controllo basato su nonce (fc-call-nonce) per regolare l'accesso. Peccato che quel nonce venga esposto pubblicamente tramite wp_localize_script su pagine frontend, rendendolo leggibile da qualsiasi visitatore del sito. Il lucchetto c'è, ma la chiave è appesa al muro accanto alla porta.
L'azione AJAX è registrata con wp_ajax_nopriv_, il che significa che utenti non autenticati raggiungono l'endpoint senza alcun ostacolo. Non esiste alcun controllo sulle capability dell'utente. Nessuna verifica che chi chiama sia effettivamente un amministratore. Zero.
Tre passaggi per il controllo totale
La meccanica dell'attacco è disarmante nella sua semplicità. L'attaccante invia una richiesta AJAX con il parametro check_temp=false, innescando la funzione wpgmp_temp_access_support(), che crea un nuovo account WordPress con ruolo di amministratore. Il nome utente viene generato casualmente con prefisso fc_user_, mentre l'indirizzo email è hardcoded nel codice: [email protected].
Il plugin genera quindi un URL di accesso associato al nuovo account. Visitandolo, il sistema invoca wp_set_auth_cookie(), autenticando l'attaccante senza bisogno di alcuna password. Da quel momento il sito è nelle sue mani.
Le possibilità post-sfruttamento sono quelle che ci si aspetta da un accesso amministrativo pieno: installazione di plugin malevoli, modifica dei temi, iniezione di backdoor, distribuzione di webshell, esecuzione di codice PHP tramite l'editor dei temi o file manager, accesso al database attraverso interfacce plugin, furto di dati e gestione completa degli utenti.
Sfruttamento attivo: oltre 3.600 tentativi in 24 ore
La vulnerabilità non è un rischio teorico. Sono stati osservati oltre 3.600 tentativi di exploit in un singolo arco di 24 ore. Il momento esatto in cui lo sfruttamento sia iniziato non è confermato con certezza da tutte le fonti - Wordfence non ha specificato se attacchi fossero avvenuti prima della divulgazione iniziale del 24 marzo 2026 - ma il dato sui volumi parla da solo.
Per chi gestisce portfolio WordPress multi-cliente, la minaccia è particolarmente insidiosa. Un singolo sito compromesso su un ambiente di hosting condiviso può diventare il trampolino per il furto di credenziali, la distribuzione di malware ai visitatori o il movimento laterale verso altri siti ospitati sulla stessa infrastruttura.
La correzione e la cronologia della divulgazione
Il ricercatore David Brown ha segnalato la vulnerabilità a Wordfence il 24 marzo 2026, ricevendo un compenso di 1.950 dollari tramite il programma bug bounty della piattaforma. Wordfence ha validato l'exploit e, non riuscendo a individuare un contatto diretto con lo sviluppatore del plugin, ha coinvolto il team di sicurezza di Envato il 16 maggio. Due giorni dopo, gli utenti delle versioni Premium, Care e Response di Wordfence hanno ricevuto protezione tramite firewall. La versione 6.1.1, che corregge il problema, è stata rilasciata il 20 maggio 2026.
La patch aggiunge ciò che avrebbe dovuto esserci dall'inizio: un controllo sulle capability dell'utente. Se chi effettua la richiesta non possiede il permesso manage_options, il server restituisce un errore 403 e termina l'esecuzione. Una correzione da poche righe di codice per un problema che avrebbe dovuto essere individuato in fase di sviluppo.
Cosa fare adesso
Tutte le versioni di WP Maps Pro fino alla 6.1.0 inclusa sono vulnerabili. L'aggiornamento alla 6.1.1 è l'unica mitigazione disponibile e va applicato immediatamente. Chi gestisce siti con questo plugin installato dovrebbe inoltre controllare la lista degli utenti registrati, cercando account sospetti con nome utente che inizia per fc_user_ o associati all'indirizzo email [email protected]: un indicatore di compromissione specifico di questo exploit.
Un dettaglio su cui riflettere: le 15.000 copie vendute rappresentano le vendite totali, non le installazioni attive. Migrazioni di siti, progetti dismessi e acquisti mai attivati riducono la base reale di esposizione. Ma con un exploit così banale da automatizzare, anche una frazione di quel numero è sufficiente a rendere l'operazione conveniente per gli attaccanti. Ogni sito non aggiornato è, di fatto, un invito a nozze.
Fonti: thecyberexpress.com, webmastered.com
