🛡 VULNERABILIDADES 🛡

CVE-2026-8732: Vulnerabilidad Crítica Detectada (CVSS 9.8)

🛡CyberObservatorio
Idioma

CVE-2026-8732: Vulnerabilidad Crítica Detectada (CVSS 9.8)

Fuente: NVD NIST

**Nueva Vulnerabilidad Crítica en WP Maps Pro: CVE-2026-8732 y su Impacto en la Seguridad de WordPress**

En el entorno actual, donde la digitalización avanza a pasos agigantados, la seguridad cibernética se convierte en una prioridad para empresas de todos los tamaños. Recientemente, se ha detectado una vulnerabilidad crítica en el popular plugin WP Maps Pro para WordPress, identificada como CVE-2026-8732, que ha recibido una alarmante puntuación de 9.8 sobre 10 en la escala CVSS (Common Vulnerability Scoring System). Este hallazgo implica un riesgo inminente para los sitios web que utilizan este plugin, lo que podría resultar en la completa toma de control de los mismos, afectando tanto a usuarios individuales como a organizaciones que confían en WordPress para gestionar su presencia digital.

La vulnerabilidad en cuestión se relaciona con un fallo en el mecanismo de control de acceso del plugin. En versiones hasta la 6.1.0 de WP Maps Pro, se ha identificado que la acción AJAX denominada `wpgmp_temp_access_ajax` está registrada bajo `wp_ajax_nopriv_`. Esto significa que no requiere autenticación previa para ser invocada. La única protección existente es una verificación de nonce, en este caso, utilizando el nonce `fc-call-nonce`, que está incrustado de manera pública en todas las páginas del frontend a través de wp_localize_script como parte del objeto JavaScript `wpgmp_local`. Esta implementación resulta ineficaz como mecanismo de control de acceso, permitiendo a atacantes no autenticados invocar el controlador `wpgmp_temp_access_support` con el parámetro `check_temp=false`. Al hacerlo, se crea de manera incondicional un nuevo usuario en WordPress con el rol de administrador, utilizando la función `wp_insert_user()`, y se devuelve una URL mágica de inicio de sesión. Cuando esta URL es visitada, se ejecuta `wp_set_auth_cookie()`, autenticando al atacante como el nuevo administrador y permitiéndole tomar el control total del sitio.

Esta vulnerabilidad se clasifica bajo CWE-306, que denota una debilidad de seguridad relacionada con la autenticación y el control de acceso en el software afectado. El vector de ataque se clasifica como NETWORK, lo que significa que puede ser explotado a través de la red sin necesidad de interacción del usuario. Además, la complejidad del ataque es baja y no se requieren privilegios previos para llevarlo a cabo, lo que lo convierte en una amenaza aún más alarmante.

Con una puntuación CVSS de 9.8, esta vulnerabilidad es considerada crítica, lo que indica un riesgo extremadamente alto para la seguridad de los sistemas. Las vulnerabilidades con puntuaciones superiores a 9.0 generalmente facilitan la ejecución remota de código, la escalada de privilegios o el compromiso total del sistema, por lo que este caso no es una excepción. La posibilidad de que un atacante obtenga acceso completo a un sitio web puede tener repercusiones devastadoras, no solo a nivel de seguridad de datos, sino también en términos de reputación y confianza de los clientes.

Históricamente, este tipo de vulnerabilidades no son nuevas en el ecosistema de WordPress. A lo largo de los años, se han documentado múltiples incidentes similares donde fallos en plugins han llevado a la explotación de sitios web. Esto resalta la importancia de mantener una vigilancia constante y aplicar actualizaciones de seguridad de manera proactiva.

Ante esta situación, se recomienda encarecidamente a todas las organizaciones que utilicen WP Maps Pro que apliquen de inmediato los parches de seguridad disponibles. Además, es crucial que realicen auditorías exhaustivas de sus sistemas en busca de indicadores de compromiso y mantengan una monitorización activa del tráfico de red, buscando cualquier actividad sospechosa vinculada a esta vulnerabilidad.

Para obtener información técnica adicional y los parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: [Codecanyon](https://codecanyon.net/item/advanced-google-maps-plugin-for-wordpress/5211638) y [Wordfence](https://www.wordfence.com/threat-intel/vulnerabilities/id/65988550-d39d-40be-8d25-647e7237062d?source=cve). La seguridad en el entorno digital es un compromiso que requiere atención constante; la rápida identificación y mitigación de vulnerabilidades como esta es esencial para salvaguardar la integridad de los sistemas informáticos y la confianza de los usuarios.

CVE-2026-8732: Vulnerabilidad Crítica Detectada (CVSS 9.8)

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-8732, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: The WP Maps Pro plugin for WordPress is vulnerable to Privilege Escalation via Administrator Account Creation in all versions up to, and including, 6.1.0. This is due to the wpgmp_temp_access_ajax AJAX action being registered with wp_ajax_nopriv_ and protected only by a nonce check using the fc-call-nonce nonce, which is publicly embedded into every frontend page via wp_localize_script as the nonce field of the wpgmp_local JavaScript object, rendering the check ineffective as an access control mechanism. This makes it possible for unauthenticated attackers to invoke the wpgmp_temp_access_support handler with check_temp=false, which unconditionally creates a new WordPress user with the hardcoded role of administrator via wp_insert_user() and returns a magic login URL that, when visited, calls wp_set_auth_cookie() to fully authenticate the attacker as the newly created administrator, resulting in complete site takeover. La vulnerabilidad está clasificada como CWE-306, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://codecanyon.net/item/advanced-google-maps-plugin-for-wordpress/5211638 https://www.wordfence.com/threat-intel/vulnerabilities/id/65988550-d39d-40be-8d25-647e7237062d?source=cve Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.