Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-8732 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-29 |
| Producent | WordPress |
| Produkt | WP Maps Pro (plugin) |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wtyczka WP Maps Pro dla WordPress jest podatna na eskalację uprawnień poprzez utworzenie konta administratora we wszystkich wersjach do 6.1.0 włącznie. Wynika to z faktu, że akcja AJAX wpgmp_temp_access_ajax jest zarejestrowana z wp_ajax_nopriv_ i chroniona wyłącznie przez weryfikację nonce z użyciem fc-call-nonce, który jest publicznie osadzany na każdej stronie frontendowej za pomocą wp_localize_script jako pole nonce obiektu JavaScript wpgmp_local, co czyni tę kontrolę nieskuteczną jako mechanizm kontroli dostępu…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu WP Maps Pro (plugin) firmy WordPress. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
