Una vulnerabilidad crítica en el popular plugin WP Maps Pro permite a atacantes sin autenticación crear cuentas de administrador en sitios WordPress. Ya se han bloqueado más de 3.600 intentos de explotación en las últimas veinticuatro horas.
El fallo, catalogado como CVE-2026-8732, afecta a las versiones 6.1.0 e inferiores del complemento, utilizado por empresas inmobiliarias, portales de viajes y directorios con más de 15.800 ventas en el mercado Envato. Lo descubrió y reportó el investigador David Brown, y la empresa de seguridad Defiant ha confirmado la actividad maliciosa.
La vulnerabilidad se origina en una funcionalidad de ‘temporal access’ pensada para que el soporte técnico pudiera acceder a los sitios de sus clientes. Sin embargo, el endpoint AJAX utilizado estaba expuesto a usuarios no autenticados y dependía únicamente de un nonce público en el JavaScript del frontend, lo que lo hacía inoperante como medida de protección.
Esto permitía que cualquier atacante enviara una petición especialmente manipulada para ejecutar el código que insertaba un nuevo usuario con rol de administrador, generaba una URL de acceso sin contraseña y la devolvía al sistema remoto. Bastaba con visitar esa dirección para quedar autenticado como administrador, sin verificación adicional.
Los investigadores de Defiant han observado que los actores maliciosos intentan explotar activamente el fallo, y en las últimas veinticuatro horas bloquearon más de 3.600 tentativas. La capacidad de inyectar un administrador sin credenciales otorga el control total del sitio: desde robo de datos hasta despliegue de webshells y backdoors persistentes.
Un simple fallo en un endpoint AJAX, combinado con una dirección de email predefinida, abre la puerta a un control total del sitio sin necesidad de credenciales.
El parche 6.1.1, liberado el 20 de mayo, corrige el problema. Los administradores de webs con el plugin instalado deben actualizar de inmediato, sobre todo si se trata de entornos corporativos o institucionales donde la pérdida de información clasificada o sensible podría tener consecuencias graves.
Explotación activa y respuesta de la comunidad de seguridad
La rapidez con la que los atacantes han comenzado a escanear y explotar la vulnerabilidad —más de 3.600 intentos en solo un día— demuestra la eficiencia del ecosistema del cibercrimen cuando se divulga un fallo de esta magnitud. La dirección de correo electrónico predefinida (support@flippercode.com) y el hecho de que el magic login URL se genere sin comprobación adicional facilitan la automatización del ataque.
David Brown comunicó el hallazgo a Wordfence el 24 de marzo, y el desarrollador fue notificado el 16 de mayo. En apenas cuatro días ya estaba disponible la actualización correctiva, aunque para entonces los intentos de explotación ya estaban en marcha. Ese desfase entre la revelación y el parche es el margen que los ciberdelincuentes aprovechan siempre.
Dossier Moncloa: Ojos en la Sombra
En el tablero de la ciberinteligencia, vulnerabilidades como la de WP Maps Pro son el equivalente a una llave maestra. No hace falta ser un grupo APT sofisticado para aprovecharla: basta con un exploit sencillo, un escaneo masivo y unos cuantos comandos para convertir un plugin de mapas en una puerta trasera persistente. Por eso, desde que se conoció el fallo, el CCN-CERT del Centro Criptológico Nacional elevó la alerta a nivel muy alto para todos los organismos de la administración que pudieran estar afectados, según fuentes de la propia agencia consultadas por Moncloa.com.
Lo que me preocupa no es el ataque en sí, sino el uso que actores estatales puedan hacer de este vector. Grupos como APT28 (Fancy Bear), atribuido al GRU ruso, han empleado históricamente vulnerabilidades en WordPress para infiltrarse en think tanks, medios de comunicación y agencias gubernamentales. El salto de un sitio web comprometido a una red interna es, en muchas ocasiones, cuestión de tiempo y de un atacante paciente. Ya escribí en El quinto elemento que el próximo 11‑S no se anunciará con un avión, sino con un clic, y fallos como este, que convierten un complemento inocente en un administrador completo del sistema, son la mecha.
El patrón se repite. En 2018, un zero‑day en un plugin de WordPress permitió a agentes del GRU comprometer las webs del Gobierno ucraniano; en 2020, la campaña SolarWinds demostró cómo un solo componente comprometido podía abrir las puertas de decenas de agencias federales estadounidenses. Cada nueva vulnerabilidad de este tipo es una oportunidad de espionaje para quien la descubra antes que el defensor.
No me equivoque usted: en este caso no hay atribución estatal, pero el método es idéntico al que emplean las agencias de inteligencia extranjeras en operaciones de HUMINT digital. Penetrar sin hacer ruido, crear cuentas privilegiadas y moverse lateralmente. El CNI y el CCN-CERT lo saben, y por eso este tipo de alertas se monitorizan como si se tratara de una intrusión hostil en territorio nacional. Usted, como responsable de un sitio WordPress, debe aplicar el parche 6.1.1 sin perder un minuto más.
