Kritična ranjivost u WP Maps Pro dodatku omogućava preuzimanje WordPress sajtova
WP Maps Pro dodatak za WordPress ima kritičnu ranjivost koja omogućava preuzimanje sajtova bez lozinke - ažuriranje je hitno neophodno.
Šta se desilo?
Napadači aktivno iskorišćavaju kritičnu ranjivost u popularnom WordPress dodatku WP Maps Pro kako bi preuzeli kontrolu nad sajmovima. Ranjivost omogućava neautentificiranim napadačima da kreiraju nove administratorske naloge i dobiju potpunu kontrolu nad pogođenim sajtovima bez potrebe za lozinkom ili dodatnom verifikacijom.
Kako funkcioniše napad?
WP Maps Pro dodatak sadrži AJAX funkciju namenjena privremenom pristupu koji koristi proizvođač tijekom tehnijske podrške. Međutim, zaštita ove funkcije je nedovoljna - koristi se samo nonce provera koja je dostupna svim neautentificiranim korisnicima na frontendskoj strani sajta. Bez dodatne provere dozvola, napadač može da pozove AJAX akciju i generiše novi WordPress nalog sa administratorskim privilegijama. Sistem automatski generiše slučajno korisničko ime i fiksnu email adresu, a zatim vraća "magični" login URL koji omogućava pristup bez lozinke.
Koga pogađa?
Ugroženi su vlasnici WordPress sajtova koji koriste WP Maps Pro dodatak verzije starije od 6.1.1. Dodatak je popularan među onima koji žele da integrue Google Maps na svoje veb-stranice. Zbog veoma dostupnog načina eksploatacije, rizik je potencijalno veliki za sve nezaštićene instalacije.
Kako se zaštititi?
- Hitno ažurirajte WP Maps Pro na verziju 6.1.1 ili noviju - ovo je kritična bezbenosna ispravka
- Ako već navodite verziju 6.1.1 ili noviju, čuvajte dodatak redovno ažuriran
- Pregledajte listu administratorskih naloga na vašem sajtu - moguće je da su kreirani sumnjivi nalozi
- Proverite logove pristupa i tražite anomalne aktivnosti u periodu pre nego što ste ažurirali
- Razmislite o aktiviranju dodatne autentifikacije (two-factor authentication) za administratorske naloge
- Redovno monitorujte instalovane dodatke i aktivirajte automatske ažuriranja gde je moguće
Tehnički detalji
Ranjivost je registrovana kao CVE-2026-8732 sa CVSS skorom od 9.8, što ukazuje na kritičan nivo rizika. Problem se nalazi u AJAX callback funkciji koja je zaštićena samo nonce proverom bez provere dozvola korisnika. Kompanija Defiant je zabeleživala preko 1.700 pokušaja eksploatacije tokom 24-satnog perioda, što pokazuje aktivnu iskorišćenost ranjivosti u praksi.
Preporuka Sajber Radara
Vlasnici WordPress sajtova sa WP Maps Pro dodatkom trebaju da izvedu hitnu ažuriranju što je pre moguće. Dalje preporučujemo da proverite administratorske naloge, pregledajte bezbenosne logove i razmislite o pojačanju autentifikacije za sve administratorske račune.