Una vulnerabilità critica in WP Maps Pro sta mettendo a rischio migliaia di siti WordPress che non hanno ancora installato l’ultima patch. Il problema, già sfruttato in attacchi mirati, può consentire a un malintenzionato di creare un nuovo account con privilegi di amministratore e prendere il controllo del sito.
Per chi usa questo plugin per mappe personalizzate, store locator o integrazioni con Google Maps e OpenStreetMap, la priorità è chiara: aggiornare subito e verificare che non siano comparsi utenti sospetti tra gli amministratori. La falla è seria, diffusa e già osservata in attività malevole sul web.
WP Maps Pro e la vulnerabilità critica su WordPress
La debolezza è stata catalogata come CVE-2026-8732 e riguarda le versioni 6.1.0 e precedenti di WP Maps Pro. Secondo le segnalazioni dei ricercatori, il difetto permette di aggirare i controlli normali del plugin e generare un nuovo utente WordPress con ruolo amministrativo. Il punteggio di severità, 9,8 su 10, descrive bene il livello di rischio.
Il plugin è presente su oltre 15.000 siti, un numero che lo rende un bersaglio interessante per scanner automatici e gruppi criminali. La situazione è diventata ancora più delicata dopo le prime rilevazioni di abuso: Wordfence ha bloccato migliaia di tentativi di sfruttamento in poche ore, segno che la falla è già entrata nelle campagne di attacco.
Come funziona l’abuso della falla
Secondo l’analisi tecnica, l’attacco passa attraverso una richiesta costruita ad arte con il parametro check_temp impostato su false. In questo modo, la funzione vulnerabile richiama wp_insert_user() e crea un account con privilegi elevati, assegnando anche un indirizzo email predefinito già presente nel codice del plugin.
Il dettaglio più preoccupante è che il sistema può generare anche un link di accesso diretto, salvato nei metadati dell’utente e restituito nella risposta. In pratica, l’attaccante può ottenere un accesso pronto all’uso senza dover passare da una normale procedura di login. Da lì, le conseguenze possono essere pesanti: modifica dei contenuti, installazione di plugin malevoli, furto di dati o alterazione della configurazione del sito.
Cosa fare subito per proteggere il sito
La correzione è arrivata con WP Maps Pro 6.1.1, rilasciato il 20 maggio 2026. Chi gestisce un sito WordPress con questo plugin dovrebbe verificare immediatamente la versione installata e aggiornare senza attese, soprattutto se il sito è pubblico o ha una certa visibilità.
Oltre all’update, è importante controllare la lista degli amministratori e cercare account creati di recente o associati a indirizzi email non riconosciuti. Vale anche la pena esaminare i log del server per individuare richieste anomale legate a check_temp e chiudere eventuali sessioni sospette. In casi come questo, la rapidità fa la differenza: mantenere plugin e temi aggiornati resta una delle difese più efficaci per ogni sito WordPress.
