Origine : bjCSIRT
Numéro : 2026/ALERTE/052
APERÇU :
Une vulnérabilité affectant WP MAPS PRO permettrait à un acteur malveillant non authentifié d’obtenir des privilèges élevés sur les systèmes affectés.
DESCRIPTION
WP MAPS PRO est une extension pour WordPress dédiée à la création et à l’affichage de cartes interactives personnalisées.
Cette extension est affectée par une vulnérabilité libellée CVE-2026-8935 résultant de l’enregistrement d’une action AJAX accessible sans authentification. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’utiliser un jeton de sécurité (nonce) publiquement exposé afin de générer un compte d’administrateur non autorisé.
Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1.
IMPACT
- Élévation de privilèges ;
- Création de compte administrateur non autorisé ;
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système.
SYSTEMES AFFECTÉS
Les versions antérieures à 6.1.1 de WP MAPS PRO.
MESURES À PRENDRE :
- Mettre à jour WP MAPS PRO vers sa dernière version stable ;
- Désactiver temporairement l’extension si la mise à jour ne peut être appliquée immédiatement ;
- Auditer les comptes administrateurs récemment créés sur les sites WordPress concernés.
RÉFÉRENCES :