Une faille du plugin WP Maps Pro exploitée pour créer des comptes administrateurs sur des sites WordPress

Une vulnérabilité de sécurité critique affectant le plugin WP Maps Pro pour WordPress fait l'objet d'exploitations actives. Des attaquants non authentifiés peuvent contourner les protections du plugin et créer de nouveaux comptes disposant de privilèges d'administration sur les sites vulnérables.

Nature de la faille et exploitation

La faille réside dans un mécanisme d'authentification insuffisant du plugin, conçu initialement pour afficher des cartes interactives. En envoyant des requêtes spécialement conçues, un attaquant peut exécuter des actions réservées aux administrateurs, notamment la création de comptes. Une fois ces accès obtenus, il peut prendre le contrôle total du site, installer des logiciels malveillants ou dérober des données.

Des chercheurs en cybersécurité ont observé des tentatives d'exploitation en cours, ciblant un grand nombre d'installations WordPress. La gravité de la vulnérabilité est jugée maximale, car elle ne nécessite aucune interaction de l'utilisateur ni privilège préalable.

Mesures recommandées

Les propriétaires de sites utilisant WP Maps Pro sont invités à vérifier immédiatement la version du plugin installée et à appliquer les mises à jour de sécurité publiées par l'éditeur. Il est également conseillé de vérifier la présence de comptes administrateur suspects et de renforcer les mots de passe existants. Les solutions de pare-feu applicatif (WAF) peuvent offrir une protection temporaire en bloquant les requêtes malveillantes.

Contexte et précédents

Cette attaque s'inscrit dans une tendance plus large d'exploitation de plugins WordPress vulnérables. La popularité de la plateforme en fait une cible privilégiée pour les acteurs malveillants, qui cherchent à prendre le contrôle de sites pour des campagnes de spam, de phishing ou de défacement. Les administrateurs sont encouragés à maintenir à jour l'ensemble de leurs extensions et à limiter les droits d'écriture sur les fichiers sensibles.

Les autorités de cybersécurité n'ont pas encore publié de bulletin officiel concernant cette faille spécifique, mais les experts recommandent de traiter la menace avec la plus haute priorité.