Cảnh báo: Lỗ hổng nghiêm trọng trên plugin WP Maps Pro đang bị khai thác để chiếm quyền quản trị

Một lỗ hổng bảo mật nghiêm trọng đang được khai thác tích cực trên plugin WP Maps Pro, một công cụ phổ biến trên WordPress với hơn 15.000 lượt bán trên Envato Market. Lỗ hổng này cho phép kẻ tấn công không cần xác thực vẫn có thể tạo tài khoản người dùng với quyền quản trị (administrator), từ đó chiếm quyền kiểm soát toàn bộ website.

Chi tiết về lỗ hổng CVE-2026-8732

Được định danh là CVE-2026-8732 với điểm số CVSS lên tới 9.8, lỗ hổng này nằm trong tính năng “truy cập tạm thời” (temporary access) vốn được thiết kế để hỗ trợ nhân viên kỹ thuật đăng nhập vào website khách hàng khi cần xử lý sự cố.

Theo phân tích từ Wordfence, hàm wpgmp_temp_access_support() đã không được kiểm soát chặt chẽ. Kẻ tấn công có thể lợi dụng cơ chế AJAX wpgmp_temp_access_ajax vốn được đăng ký với wp_ajax_nopriv_. Việc kiểm tra bảo mật chỉ dựa vào một nonce (mã xác thực) được nhúng công khai trên các trang frontend, khiến cơ chế kiểm soát truy cập này trở nên vô hiệu.

Kẻ tấn công có thể kích hoạt trình xử lý này với tham số check_temp=false, ép buộc hệ thống tạo ra một tài khoản quản trị mới và cung cấp một đường dẫn đăng nhập “ma thuật”. Khi truy cập vào đường dẫn này, kẻ tấn công sẽ được xác thực ngay lập tức dưới quyền quản trị viên.

Khuyến nghị cho quản trị viên

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản WP Maps Pro từ 6.1.0 trở về trước. Nhà phát triển đã phát hành bản vá trong phiên bản 6.1.1 vào ngày 20/05/2026, yêu cầu người dùng phải xác thực quyền quản trị mới có thể truy cập vào endpoint này.

Các chuyên gia bảo mật cảnh báo rằng các cuộc tấn công đang diễn ra rất mạnh mẽ. Chỉ trong vòng 24 giờ qua, hệ thống của Wordfence đã ghi nhận và chặn đứng gần 3.000 nỗ lực khai thác nhắm vào lỗ hổng này. Nếu bạn đang sử dụng plugin WP Maps Pro, hãy kiểm tra và cập nhật lên phiên bản mới nhất ngay lập tức để đảm bảo an toàn cho website của mình.

Nguồn tham khảo: The Hacker News