Các tác nhân đe dọa đang nỗ lực khai thác tích cực một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến WP Maps Pro, một plugin WordPress đã có hơn 15.000 lượt bán trên Envato Market, để tạo các tài khoản quản trị viên (administrator) độc hại trên các trang web dễ bị tấn công.
WP Maps Pro cho phép chủ sở hữu trang web nhúng Google Maps và OpenStreetMap có thể tùy chỉnh với các đánh dấu, danh sách và các tính năng vị trí nâng cao trên các trang web WordPress. Nó thường được sử dụng như một công cụ định vị cửa hàng, giúp người dùng dễ dàng tìm thấy các địa điểm gần đó, xem chi tiết danh sách và nhận chỉ đường.
Lỗ hổng leo thang đặc quyền CVE-2026-8732
Lỗ hổng đang được nhắc đến là CVE-2026-8732 (điểm CVSS: 9.8), một lỗi leo thang đặc quyền (privilege escalation) cho phép những kẻ tấn công chưa được xác thực (unauthenticated) tạo người dùng WordPress với quyền quản trị, từ đó cho phép chúng chiếm quyền kiểm soát trang web hoàn toàn.
Thiếu sót này ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm cả bản 6.1.0. Nó đã được khắc phục trong phiên bản 6.1.1. Nhà nghiên cứu bảo mật David Brown được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.
Cơ chế khai thác qua tính năng truy cập tạm thời
Về cơ bản, vấn đề bắt nguồn từ tính năng "truy cập tạm thời" (temporary access) được thiết kế để cho phép nhân viên hỗ trợ đăng nhập vào trang web của khách hàng trong quá trình khắc phục sự cố. Do quy trình này cho phép người dùng chưa xác thực thực thi hàm wpgmp_temp_access_support() mà không có các bước kiểm tra đầy đủ, cuối cùng nó cho phép chúng tạo ra một người dùng quản trị viên.
"Điều này là do hành động AJAXwpgmp_temp_access_ajaxđược đăng ký vớiwp_ajax_nopriv_và chỉ được bảo vệ bởi một kiểm tra nonce bằngfc-call-noncenonce, vốn được nhúng công khai vào mọi trang frontend thông quawp_localize_scriptdưới dạng trường nonce của đối tượng JavaScriptwpgmp_local, khiến việc kiểm tra không hiệu quả như một cơ chế kiểm soát truy cập," chuyên gia từ Wordfence cho biết.
"Điều này giúp những kẻ tấn công chưa xác thực có thể gọi trình xử lýwpgmp_temp_access_supportvới tham sốcheck_temp=false, hành động này sẽ tạo ra một người dùng WordPress mới với vai trò administrator được mã hóa cứng (hardcoded) thông qua hàmwp_insert_user()một cách vô điều kiện. Sau đó, hệ thống trả về một URL đăng nhập đặc biệt, khi truy cập sẽ gọiwp_set_auth_cookie()để xác thực hoàn toàn kẻ tấn công với tư cách là quản trị viên mới, dẫn đến việc chiếm đoạt toàn bộ trang web."
Khuyến nghị cập nhật ngay lập tức
Bản vá được các nhà duy trì plugin phát hành vào ngày 20 tháng 5 năm 2026, đã đóng lỗ hổng bằng cách đảm bảo rằng chỉ các quản trị viên đã được xác thực mới có thể truy cập vào điểm cuối (endpoint) này.
Tuy nhiên, lỗ hổng bảo mật này hiện đã bị khai thác tích cực trong thực tế. Wordfence tuyên bố rằng họ đã chặn hơn 2.800 cuộc tấn công nhắm vào lỗi này chỉ trong vòng 24 giờ qua. Do đó, điều tối quan trọng là các chủ sở hữu trang web phải cập nhật plugin WP Maps Pro lên phiên bản mới nhất ngay lập tức để bảo vệ hệ thống.