CVE-2026-8935
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Wtyczka WP MAPS PRO dla WordPressa przed wersją 6.1.1 rejestruje nieautoryzowaną akcję AJAX, która, przy użyciu ważnego nonce, nieodwracalnie tworzy konto administratora i zwraca URL do magicznego logowania, umożliwiając interaktywny dostęp do panelu administracyjnego.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki WP MAPS PRO do wersji 6.1.1 lub nowszej oraz przeglądanie i monitorowanie kont użytkowników w celu wykrycia nieautoryzowanych zmian.
Oryginalny opis (angielski, źródło NVD)
The WP MAPS PRO WordPress plugin before 6.1.1 registers an unauthenticated AJAX action which, given a valid nonce that is publicly emitted on any frontend page enqueuing its map script, unconditionally creates an administrator account and returns a magic-login URL granting interactive admin access.

