駭客正以運行存在漏洞的 WP Maps Pro 外掛程式版本的 WordPress 網站為目標，該外掛程式允許在未經身份驗證的情況下建立惡意管理員帳戶。此漏洞編號為 CVE-2026-8732，嚴重程度為“嚴重”，影響 WP Maps Pro 6.1.0 及更早版本。該漏洞由安全研究員 David Brown 發現並報告。

WP Maps Pro 是一款高級 WordPress 插件，用於建立互動式、可自訂的地圖和商店定位器。它支援多種地圖供應商，例如 Google Maps 和 OpenStreetMap。該外掛程式通常被需要在地圖上顯示多個位置的企業、房地產網站、旅遊網站、目錄和組織使用，在 Envato Market 上的銷售量超過 15,800 件。

CVE-2026-8732 漏洞是由插件中的「臨時存取」功能引起的，該功能旨在允許供應商支援人員存取客戶現場進行故障排除。Brown 發現，用於此功能的 AJAX 端點可供未經身份驗證的用戶存取，並且完全依賴前端 JavaScript 中公開的 nonce 檢查，導致保護措施無效。

WordPress 安全公司 Defiant 的研究人員觀察到，威脅行為者正試圖利用該漏洞，並在過去 24 小時內阻止了 3600 多次嘗試。研究人員解釋說：「當請求中 check_temp 參數設置為 false 時，該函數會通過 wp_insert_user() 創建一個新的 WordPress 用戶，該用戶具有硬編碼的管理員角色、隨機生成的用戶名和硬編碼的電子郵件地址 support@flippercode.com.」

擁有網站的管理員等級存取權限意味著攻擊者可以注入持久後門、修改內容、存取私人資料、部署 Web Shell、安裝惡意外掛程式並接管網站。Brown 於 3 月 24 日向 Wordfence 報告了該漏洞，在驗證了該漏洞後，供應商於 5 月 16 日收到了通知。

5月20日，WP Maps Pro 6.1.1版本發布，修復了CVE-2026-8732漏洞。由於已發現惡意活動，建議網站管理員盡快更新外掛程式。

資料來源：https://www.bleepingcomputer.com/news/security/wp-maps-pro-bug-exploited-to-create-admin-accounts-on-wordpress-sites/