Plugin popular, falha grave: o que aconteceu com o WP Maps Pro

O WP Maps Pro é um plugin para WordPress usado para incorporar mapas do Google Maps e OpenStreetMap com marcadores, listas de locais e recursos de localização avançados. Com mais de 15 mil vendas no Envato Market, ele é amplamente adotado por negócios que precisam exibir filiais, lojas ou pontos de interesse em seus sites.

A falha identificada como CVE-2026-8732 afeta todas as versões até a 6.1.0 e recebeu nota 9.8 de severidade — uma das classificações mais altas possíveis. O problema foi corrigido na versão 6.1.1. O impacto central: um invasor sem nenhuma conta no site consegue criar um novo usuário com permissão total de administrador no WordPress.

A função de suporte que abriu a porta para invasores

O WP Maps Pro possui um recurso de acesso temporário pensado para facilitar o atendimento técnico — a ideia é permitir que a equipe de suporte entre no site do cliente sem precisar de senha. Esse tipo de funcionalidade exige controles rígidos, porque opera com permissões elevadas.

No caso desta falha, uma ação do plugin podia ser acionada de fora do site sem nenhuma autenticação. Por falta de verificações adequadas, o atacante conseguia disparar a função que cria um novo administrador no WordPress e gera um link de acesso direto. O resultado prático é controle total sobre o site — sem precisar conhecer nenhuma senha existente.

Sinais de que seu site pode ter sido comprometido

Sites com o WP Maps Pro na versão 6.1.0 ou anterior precisam ser revisados com urgência, especialmente porque a falha já está sendo explorada ativamente. Alguns indicadores merecem atenção imediata:

• Usuários administradores no WordPress que ninguém da equipe reconhece.
• Contas com nomes genéricos ou criadas sem solicitação interna.
• Alterações recentes em plugins, temas ou configurações do site.
• Acessos ao painel administrativo em horários fora do expediente.
• Arquivos ou links desconhecidos adicionados ao conteúdo do site.

Atualizar é o primeiro passo, não o único

A ação mais urgente é confirmar a versão instalada do WP Maps Pro. Se o plugin estiver na versão 6.1.0 ou anterior, atualize para a versão 6.1.1 imediatamente — ela fecha a vulnerabilidade conhecida.

Feita a atualização, o trabalho não termina aí. Como a exploração já está acontecendo, revise a lista completa de administradores no WordPress e remova qualquer conta que não seja reconhecida pela equipe. Troque as senhas de todos os acessos privilegiados e verifique se houve instalação de plugins, temas ou arquivos sem autorização. Sites que coletam dados de clientes devem avaliar se o incidente exige notificação sob a LGPD.

Checklist: o que fazer agora

1. Confirme se o site usa WP Maps Pro e identifique a versão instalada.
2. Atualize o plugin para a versão 6.1.1, que corrige a falha CVE-2026-8732.
3. Revise a lista de administradores do WordPress e exclua contas desconhecidas.
4. Troque senhas de contas privilegiadas e elimine acessos desnecessários.
5. Analise mudanças recentes em plugins, temas, arquivos e configurações do site.

Perguntas frequentes

Quem é afetado pela falha no WP Maps Pro?

Sites WordPress que usam o WP Maps Pro em versões iguais ou anteriores à 6.1.0. A correção foi publicada na versão 6.1.1.

O atacante precisa ter uma conta no site?

Não. A falha permite exploração sem autenticação — o invasor não precisa de login prévio no WordPress para acionar o ataque.

Atualizar o plugin resolve tudo?

A atualização fecha a vulnerabilidade conhecida, mas não desfaz o que já pode ter acontecido. Revisar contas administradoras e histórico de alterações é indispensável para sites que ficaram expostos antes da correção.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/06/critical-wp-maps-pro-flaw-actively.html