Pakar keamanan mengungkapkan celah kritis dalam WP Maps Pro, yang memungkinkan penyerang membuat akun admin secara hardcoded.
Para penyerang saat ini aktif memanfaatkan kerentanan kritis di plugin WordPress yang populer untuk menciptakan akun admin dan dengan demikian mengambil alih seluruh website. Hal ini dikonfirmasi oleh beberapa peneliti keamanan, termasuk David Brown yang pertama kali mengungkap celah ini dan Defiant yang menyatakan adanya percobaan eksploitasi di lapangan.
Plugin yang dimaksud adalah WP Maps Pro, sebuah plugin premium WordPress yang digunakan untuk membuat peta yang dapat disesuaikan, pencari lokasi interaktif, dan sejenisnya, menggunakan Google Maps atau OpenStreetMap. Saat ini, plugin ini dipakai oleh lebih dari 15.000 website, menurut data dari Envato Market.
Berdasarkan penelitian Brown, plugin ini memiliki kerentanan “eskalasi hak istimewa melalui pembuatan akun administrator” yang memungkinkan pelaku ancaman membuat pengguna WordPress baru dengan peran admin yang hardcoded. Kerentanan ini sekarang dilacak sebagai CVE-2026-8732 dan memiliki skor keparahan 9.8/10 (kritis). Masalah ini ditemukan di versi 6.1.0 dan yang lebih lama.
Menangani masalah
Defiant, perusahaan cybersecurity yang mengelola Wordfence, mengatakan bahwa peneliti mereka mengamati dan menghentikan lebih dari 3.600 percobaan eksploitasi hanya dalam satu hari.
“Ketika permintaan dibuat dengan parameter check_temp disetel ke false, fungsi ini menciptakan pengguna WordPress baru melalui wp_insert_user() dengan peran admin hardcoded, nama pengguna yang dihasilkan secara acak, dan alamat email hardcoded support@flippercode.com,” ujar para peneliti. “Fungsi ini kemudian menghasilkan ‘URL login ajaib’ menggunakan generate_login_link(), menyimpannya sebagai meta pengguna, dan mengembalikannya dalam tubuh respons.”
Pembaruan untuk mengatasi masalah ini dirilis empat hari setelah pengungkapan awal, yaitu pada 20 Mei. Pengguna disarankan untuk segera mengupgrade ke versi 6.1.1 untuk menghindari menjadi target serangan.
Dengan WordPress yang mendukung sebagian besar internet saat ini, platform ini juga menjadi salah satu yang paling banyak diserang. Ekosistem besar dari plugin dan tema, baik gratis maupun premium, selalu menjadi sasaran penyalahgunaan dalam serangan seperti ini.
