一个广受欢迎的WordPress地图插件,近期被曝光严重漏洞,攻击者正疯狂利用它来直接创建管理员账户,进而把整个网站据为己有。安全公司Defiant在一次统计中,单日就拦截到了超过3600次利用尝试。如果你网站里的WP Maps Pro还停留在6.1.0或更早版本,那它很可能已经成为了靶子。
关于这个编号为CVE-2026-8732的漏洞,有几个关键点必须说清楚:
1. 谁第一个发现?
研究员David Brown最早披露了这一漏洞,评分高达9.8(满分10),属于“严重”级别。他指出了插件存在“通过管理员账户创建实现权限提升”的问题,随后Defiant公司也在野外攻击中确认了这一危险。
2. 攻击方式有多简单粗暴?
攻击者只需要在请求里带一个“check_temp=false”的参数,插件就会默默调用wp_insert_user()函数,创建一个全新用户,并且角色被硬编码为“管理员”。用户名是随机生成的,但邮箱却被直接固定成了“support@flippercode.com”。更糟糕的是,它还会生成一个“魔法登录链接”放在响应里,攻击者点开链接就能直接进入后台,连常规登录都省了。
3. 一天3600次拦截意味着什么?
Wordfence背后的网络公司Defiant证实,仅在一天之中他们就观察并阻止了超过3600次利用尝试。这背后透露出的信息很残酷:攻击者早已在全网自动扫描和攻击装有该插件的站点,绝不是小范围的试探。
4. 到底有多少网站受影响?
WP Maps Pro是一款付费插件,被用来在网站上加载可定制地图、门店查找器等功能,支持谷歌地图和OpenStreetMap。Envato Market的数据显示,目前有超过15000个网站在使用这款插件。放在WordPress这一驱动大量互联网内容的平台,这15000多个站点每一个都可能成为突入的缺口。
5. 补丁来了,但该你动了
Brown披露漏洞四天后,也就是5月20日,开发者放出了修复版本6.1.1。如果你正在使用WP Maps Pro,立刻升级到这个版本是唯一有效的手段。升级之后,也别忘了去用户列表里看一眼,看有没有莫名出现的管理员账户,特别是邮箱是“support@flippercode.com”的那个。在WordPress庞大的插件生态里,类似被利用的案例比比皆是,这场攻击再次证明:付费插件和免费插件一样,版本更新跑得快,才不留给攻击者可乘之机。
此事最让人心里发毛的地方在于,攻击者几乎不需要拿到你的任何身份凭证,只要发一个精心构造的请求,就能在你的网站里塞进一个管理员后门。代码层面一个小小的疏忽,就能让整个网站的门钥拱手送人。
热门跟贴