CVE-2026-8732 in WP Maps Pro Pluginالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يحتوي إضافة WP Maps Pro لـ WordPress على ثغرة تسمح بتصعيد الامتيازات عبر إنشاء حساب مسؤول في جميع الإصدارات حتى 6.1.0 شاملاً. ويعود ذلك إلى تسجيل إجراء AJAX باسم `wpgmp_temp_access_ajax` باستخدام `wp_ajax_nopriv_`، وحمايته فقط بفحص nonce باستخدام الـ nonce المسمى `fc-call-nonce`، والذي يتم تضمينه علناً في كل صفحة أمامية عبر `wp_localize_script` كحقل nonce لكائن JavaScript المسمى `wpgmp_local`، مما يجعل الفحص غير فعال كآلية للتحكم في الوصول. وهذا يتيح للمهاجمين غير المصادق عليهم استدعاء المعالج `wpgmp_temp_access_support` مع المعلمة `check_temp=false`، مما يؤدي بشكل غير مشروط إلى إنشاء مستخدم WordPress جديد بدور "مسؤول" ثابت (hardcoded) عبر `wp_insert_user()`، وإرجاع عنوان URL سحري لتسجيل الدخول، وعند زيارته، يتم استدعاء `wp_set_auth_cookie()` لمصادقة المهاجم بالكامل كمسؤول تم إنشاؤه حديثاً، مما يؤدي إلى الاستيلاء الكامل على الموقع.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

16/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367130

CPE

جاهز

CWE

CWE-306 (مؤكد)

CVSS

9.8 (CNA)

EPSS

0.00097

KEV

لا

النشاطات

منخفض

القطاع

Hostingprovider

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8732
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8732
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8732/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!