{"id":1031,"date":"2026-06-01T11:01:02","date_gmt":"2026-06-01T11:01:02","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/01\/falla-critica-de-wp-maps-pro-explotada-activamente-para-crear-cuentas-de-administrador-cyberdefensa-mx\/"},"modified":"2026-06-01T11:01:02","modified_gmt":"2026-06-01T11:01:02","slug":"falla-critica-de-wp-maps-pro-explotada-activamente-para-crear-cuentas-de-administrador-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/01\/falla-critica-de-wp-maps-pro-explotada-activamente-para-crear-cuentas-de-administrador-cyberdefensa-mx\/","title":{"rendered":"Falla cr\u00edtica de WP Maps Pro explotada activamente para crear cuentas de administrador \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los actores de amenazas est\u00e1n intentando explotar activamente una falla de seguridad cr\u00edtica que afecta <a href=\"https:\/\/codecanyon.net\/item\/advanced-google-maps-plugin-for-wordpress\/5211638\">Mapas WP Pro<\/a>un complemento de WordPress que ha tenido m\u00e1s de 15.000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios vulnerables.<\/p>\n<p>WP Maps Pro permite a los propietarios de sitios incorporar Google Maps y OpenStreetMap personalizables con marcadores, listados y funciones de ubicaci\u00f3n avanzadas en sitios de WordPress. Se utiliza como herramienta de localizaci\u00f3n de tiendas, lo que facilita a los usuarios encontrar ubicaciones cercanas, ver detalles de listados y obtener direcciones.<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es <b><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-8732\">CVE-2026-8732<\/a><\/b>  (Puntuaci\u00f3n CVSS: 9,8), un error de escalada de privilegios que permite a atacantes no autenticados crear un usuario de WordPress con permisos administrativos, permiti\u00e9ndoles efectivamente tomar el control de un sitio.<\/p>\n<p>La deficiencia afecta a todas las versiones del complemento anteriores a la 6.1.0 incluida. Se ha solucionado en la versi\u00f3n 6.1.1. Al investigador de seguridad David Brown se le atribuye el m\u00e9rito de descubrir e informar la falla.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/threatlabz-vpn-risk-2026-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhnNON5UeWywT7OcPNw7V4L7QNWnCnm7Xl_99Y9ek8dL-gRwx-bWxQM1TKqt8deqqrdpUyKMuuijAWyyPQVB0s0qf8ntQ6ldFAJLru-QUWhddKTopc7SeNbBBnd-TsfFyRPP-AAyDuclLlL6XHK4_LXqDC_7eyaz9pzToYr7U543MhrJ7qcK-89sVWHTQUZ\/s728-e100\/zz-2-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>En un nivel alto, el problema tiene su origen en una caracter\u00edstica de \u00abacceso temporal\u00bb que est\u00e1 dise\u00f1ada para permitir que el personal de soporte inicie sesi\u00f3n en el sitio de un cliente durante la resoluci\u00f3n de problemas. Debido a que este proceso permite a los usuarios no autenticados invocar la funci\u00f3n \u00abwpgmp_temp_access_support()\u00bb sin las comprobaciones adecuadas, en \u00faltima instancia les permite crear un usuario administrador.<\/p>\n<p>\u00abEsto se debe a que la acci\u00f3n wpgmp_temp_access_ajax AJAX est\u00e1 registrada con wp_ajax_nopriv_ y protegida solo por una verificaci\u00f3n nonce usando el nonce fc-call-nonce, que se incrusta p\u00fablicamente en cada p\u00e1gina frontal a trav\u00e9s de wp_localize_script como el campo nonce del objeto JavaScript wpgmp_local, lo que hace que la verificaci\u00f3n sea ineficaz como mecanismo de control de acceso\u00bb, Wordfence <a href=\"https:\/\/www.wordfence.com\/blog\/2026\/05\/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin\/\">dicho<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVi2ZCkbKOoOOpFuYyjF9xBmxWNou1ndzFLAKg07huBGob0RJz2xqFyPPcZmktE_1CM15S-3pB2L9KaBWaXd3LseK2QoiLUY67wE4rTkKVcIY8soyss5DZy35tdkUHZidRP8gxc_D76D5Axsc0ihAJASixN8XLJFapShSu_srakv6a5CrDk16xv4i3dAsW\/s1700-e365\/post.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVi2ZCkbKOoOOpFuYyjF9xBmxWNou1ndzFLAKg07huBGob0RJz2xqFyPPcZmktE_1CM15S-3pB2L9KaBWaXd3LseK2QoiLUY67wE4rTkKVcIY8soyss5DZy35tdkUHZidRP8gxc_D76D5Axsc0ihAJASixN8XLJFapShSu_srakv6a5CrDk16xv4i3dAsW\/s1700-e365\/post.jpg\" alt=\"\" border=\"0\" data-original-height=\"681\" data-original-width=\"980\"\/><\/a><\/div>\n<p>\u00abEsto hace posible que atacantes no autenticados invoquen el controlador wpgmp_temp_access_support con check_temp=false, que crea incondicionalmente un nuevo usuario de WordPress con el rol codificado de administrador a trav\u00e9s de wp_insert_user() y devuelve una URL de inicio de sesi\u00f3n m\u00e1gica que, cuando se visita, llama a wp_set_auth_cookie() para autenticar completamente al atacante como el administrador reci\u00e9n creado, lo que resulta en una toma completa del sitio\u00bb.<\/p>\n<p>El parche publicado por los mantenedores del complemento el 20 de mayo de 2026 cierra la vulnerabilidad al garantizar que solo los administradores autenticados puedan acceder al punto final.<\/p>\n<p>Dicho esto, desde entonces la falla de seguridad ha sido objeto de explotaci\u00f3n activa, y Wordfence afirma que ha <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/wordpress-plugins\/wp-google-map-gold\/wp-maps-pro-610-unauthenticated-privilege-escalation-via-administrator-account-creation-to-wpgmp-temp-access-ajax-ajax-action\">bloque\u00f3 2.858 ataques<\/a> abordando el problema durante las \u00faltimas 24 horas. Por lo tanto, es esencial que los propietarios de sitios actualicen sus instancias a la \u00faltima versi\u00f3n para una protecci\u00f3n \u00f3ptima.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas est\u00e1n intentando explotar activamente una falla de seguridad cr\u00edtica que afecta Mapas WP Proun complemento de WordPress que ha tenido m\u00e1s de 15.000 ventas en Envato Market, para crear cuentas de administrador maliciosas en sitios vulnerables. WP Maps Pro permite a los propietarios de sitios incorporar Google Maps y OpenStreetMap personalizables [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[339,69,1234,611,704,24,947,263,2817,36,1710],"class_list":["post-1031","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-activamente","tag-administrador","tag-crear","tag-critica","tag-cuentas","tag-cyberdefensa-mx","tag-explotada","tag-falla","tag-maps","tag-para","tag-pro"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1031","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1031"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1031\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1031"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1031"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1031"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}