Katalog CVE

CVE-2026-8935

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Wtyczka WP MAPS PRO dla WordPressa przed wersją 6.1.1 rejestruje nieautoryzowaną akcję AJAX, która, przy użyciu ważnego nonce, nieodwracalnie tworzy konto administratora i zwraca URL do magicznego logowania, umożliwiając interaktywny dostęp do panelu administracyjnego.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki WP MAPS PRO do wersji 6.1.1 lub nowszej oraz przeglądanie i monitorowanie kont użytkowników w celu wykrycia nieautoryzowanych zmian.

Oryginalny opis (angielski, źródło NVD)

The WP MAPS PRO WordPress plugin before 6.1.1 registers an unauthenticated AJAX action which, given a valid nonce that is publicly emitted on any frontend page enqueuing its map script, unconditionally creates an administrator account and returns a magic-login URL granting interactive admin access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS