WP Maps Pro spraga: vienas paspaudimas — ir jūsų svetainė svetima

Jei jūsų WordPress svetainė naudoja WP Maps Pro įskiepį ir neatnaujinote jo bent jau iki gegužės 20 dienos versijos — jūsų administratoriaus paskyra gali jau priklausyti kažkam kitam. Ir tikriausiai jūs to net nepastebėjote.

Taip nutiko, nes šiame populiariame žemėlapių įskiepyje, turinčiame per 15 tūkstančių pardavimų „Envato Market" platformoje, buvo aptikta itin pavojinga spraga. Ji leidžia bet kam — be jokio prisijungimo, be jokio slaptažodžio — susikurti administratoriaus teises turinčią paskyrą ir perimti visos svetainės kontrolę.

Viskas, ko tam reikia, tai žinoti svetainės adresą. Jokių specialių įgūdžių, jokio socialinės inžinerijos triuko. Tiesiog tiesioginis kelias į serverio vidų.

Kas slypi už CVE-2026-8732

Pažeidžiamumas gavo identifikatorių CVE-2026-8732, o jo pavojingumo balas siekia 9,8 iš 10 — tai reiškia kritinį pavojų. Spraga egzistuoja visose WP Maps Pro versijose iki 6.1.0 imtinai ir buvo ištaisyta tik 6.1.1 versijoje, išleistoje gegužės 20 dieną.

Kaltininkas — vadinamoji „laikinos prieigos" funkcija. Iš pradžių ji buvo sumanyta kaip pagalbos įrankis: leisdavo techninio palaikymo darbuotojams laikinai prisijungti prie kliento svetainės, kai reikia spręsti problemą. Tačiau kūrėjai neįvertino vienos kritinės klaidos.

Funkcija „wpgmp_temp_access_support()" buvo pasiekiama per AJAX užklausas, kurios nereikalauja autentifikacijos. Vienintelė „apsauga" buvo vadinamasis nonce — unikalus saugos raktas, kuris turėtų užkirsti kelią pašaliniams asmenims iškviesti šią funkciją. Deja, šis raktas buvo viešai pasiekiamas kiekviename svetainės puslapyje per „wp_localize_script" — tiesiog įdėtas į JavaScript kodą, matomą bet kam, kas atverčia puslapio išeities tekstą.

Taigi užpuolikui tereikėjo iškviesti šią funkciją su parametru „check_temp=false", ir sistema besąlygiškai sukurdavo naują administratoriaus paskyrą, o tada grąžindavo magišką prisijungimo nuorodą. Vienas paspaudimas — ir ataka baigta.

Ką atrado saugumo tyrėjai

Pažeidžiamumą atrado saugumo tyrėjas Davidas Brownas. Jo pranešimas paskatino įskiepio kūrėjus išleisti pataisą, tačiau, regis, ne visi svetainių administratoriai suspėjo sureaguoti.

Pasak „Wordfence" saugumo komandos, per pastarąsias 24 valandas jų sistemos užblokavo 2 858 atakas, nukreiptas būtent prieš šią spragą. Tai reiškia, kad užpuolikai aktyviai skenuoja internetą ieškodami pažeidžiamų svetainių — ir tempas tik didėja.

Pačios atakos pobūdis itin paprastas. Automatizuoti robotai tikrina tūkstančius svetainių per valandą, ieškodami WP Maps Pro dieginių. Radę pažeidžiamą versiją, per kelias sekundes sukuria administratoriaus paskyrą su atsitiktiniu vardu ir perima visišką kontrolę.

Turėdamas administratoriaus teises, įsilaužėlis gali įdiegti kenkėjiškus įskiepius, pavogti klientų duomenis, peradresuoti lankytojus į sukčiavimo svetaines ar tiesiog užšifruoti visą turinį ir reikalauti išpirkos.

Ką daryti dabar

Pataisa atsirado gegužės 20 dieną, tačiau realybė tokia, kad daugelis svetainių administratorių atnaujinimus atlieka su vėlavimu — kartais savaičių, o kartais ir mėnesių. Jei naudojate WP Maps Pro, patikrinkite versiją dabar. Jei ji žemesnė nei 6.1.1, atnaujinkite nedelsdami.

Taip pat verta peržiūrėti vartotojų sąrašą WordPress administraciniame skydelyje. Jei matote įtartinų administratoriaus paskyrų, kurių nekūrėte, nedelsdami jas pašalinkite, pakeiskite visus slaptažodžius ir patikrinkite, ar nebuvo įdiegta neleistinų įskiepių ar temų.

Tai ne pirmas ir ne paskutinis atvejis, kai „patogumo funkcija" virsta saugumo katastrofa. Laikinos prieigos mechanizmai be tinkamo autentifikacijos lygmens yra viena dažniausių spragų WordPress ekosistemoje — ir kol kūrėjai mokosi iš klaidų, užpuolikai toliau ieško, kur dar galima įlįsti.