Lỗ hổng WP Maps Pro nghiêm trọng đang bị khai thác tích cực để tạo tài khoản Admin

Các tác nhân đe dọa đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến WP Maps Pro, một plugin WordPress với hơn 15.000 lượt bán trên Envato Market, nhằm tạo các tài khoản quản trị viên độc hại trên các trang web dễ bị tấn công. WP Maps Pro cho phép chủ sở hữu trang web nhúng bản đồ Google Maps và OpenStreetMap có thể tùy chỉnh với các tính năng vị trí nâng cao.
Lỗ hổng WP Maps Pro bị khai thác
Lỗ hổng nghiêm trọng trên WP Maps Pro cho phép tin tặc chiếm quyền điều khiển trang web.

Các tác nhân đe dọa đang nỗ lực khai thác tích cực một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến WP Maps Pro, một plugin WordPress đã có hơn 15.000 lượt bán trên Envato Market, để tạo các tài khoản quản trị viên (administrator) độc hại trên các trang web dễ bị tấn công.

WP Maps Pro cho phép chủ sở hữu trang web nhúng Google Maps và OpenStreetMap có thể tùy chỉnh với các đánh dấu, danh sách và các tính năng vị trí nâng cao trên các trang web WordPress. Nó thường được sử dụng như một công cụ định vị cửa hàng, giúp người dùng dễ dàng tìm thấy các địa điểm gần đó, xem chi tiết danh sách và nhận chỉ đường.

Lỗ hổng leo thang đặc quyền CVE-2026-8732

Lỗ hổng đang được nhắc đến là CVE-2026-8732 (điểm CVSS: 9.8), một lỗi leo thang đặc quyền (privilege escalation) cho phép những kẻ tấn công chưa được xác thực (unauthenticated) tạo người dùng WordPress với quyền quản trị, từ đó cho phép chúng chiếm quyền kiểm soát trang web hoàn toàn.

Thiếu sót này ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm cả bản 6.1.0. Nó đã được khắc phục trong phiên bản 6.1.1. Nhà nghiên cứu bảo mật David Brown được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.

Cơ chế khai thác qua tính năng truy cập tạm thời

Về cơ bản, vấn đề bắt nguồn từ tính năng "truy cập tạm thời" (temporary access) được thiết kế để cho phép nhân viên hỗ trợ đăng nhập vào trang web của khách hàng trong quá trình khắc phục sự cố. Do quy trình này cho phép người dùng chưa xác thực thực thi hàm wpgmp_temp_access_support() mà không có các bước kiểm tra đầy đủ, cuối cùng nó cho phép chúng tạo ra một người dùng quản trị viên.

"Điều này là do hành động AJAX wpgmp_temp_access_ajax được đăng ký với wp_ajax_nopriv_ và chỉ được bảo vệ bởi một kiểm tra nonce bằng fc-call-nonce nonce, vốn được nhúng công khai vào mọi trang frontend thông qua wp_localize_script dưới dạng trường nonce của đối tượng JavaScript wpgmp_local, khiến việc kiểm tra không hiệu quả như một cơ chế kiểm soát truy cập," chuyên gia từ Wordfence cho biết.
Chi tiết kỹ thuật khai thác CVE-2026-8732
"Điều này giúp những kẻ tấn công chưa xác thực có thể gọi trình xử lý wpgmp_temp_access_support với tham số check_temp=false, hành động này sẽ tạo ra một người dùng WordPress mới với vai trò administrator được mã hóa cứng (hardcoded) thông qua hàm wp_insert_user() một cách vô điều kiện. Sau đó, hệ thống trả về một URL đăng nhập đặc biệt, khi truy cập sẽ gọi wp_set_auth_cookie() để xác thực hoàn toàn kẻ tấn công với tư cách là quản trị viên mới, dẫn đến việc chiếm đoạt toàn bộ trang web."

Khuyến nghị cập nhật ngay lập tức

Bản vá được các nhà duy trì plugin phát hành vào ngày 20 tháng 5 năm 2026, đã đóng lỗ hổng bằng cách đảm bảo rằng chỉ các quản trị viên đã được xác thực mới có thể truy cập vào điểm cuối (endpoint) này.

Tuy nhiên, lỗ hổng bảo mật này hiện đã bị khai thác tích cực trong thực tế. Wordfence tuyên bố rằng họ đã chặn hơn 2.800 cuộc tấn công nhắm vào lỗi này chỉ trong vòng 24 giờ qua. Do đó, điều tối quan trọng là các chủ sở hữu trang web phải cập nhật plugin WP Maps Pro lên phiên bản mới nhất ngay lập tức để bảo vệ hệ thống.