WP Maps Pro 관리자 계정 생성 악용
요약
CVE-2026-8732는 WP Maps Pro에서 인증 없이 관리자 계정을 만들 수 있는 취약점이다. NVD와 Wordfence 공개 정보는 취약 지점, 트리거 파라미터, 생성 권한, 패치 버전을 비교적 구체적으로 제시한다. 2026-06-01에는 언론 보도를 통해 대규모 스캔과 차단 통계가 공개됐지만, 그 수치는 주로 Wordfence 관측치에 기반한다.
| 항목 | 내용 |
|---|---|
| 구분 | WordPress 플러그인 취약점 |
| 식별자 | CVE-2026-8732 |
| 공개일 | 2026-05-29 |
| 영향 범위 | 6.1.0 이하 |
| 취약점 유형 | 인증 없는 관리자 계정 생성 |
| 핵심 원인 | 공개된 nonce에 의존한 비인증 AJAX 보호 |
| 확인된 트리거 | action=wpgmp_temp_access_ajax, check_temp=false |
| 패치 버전 | 6.1.1 |
취약 메커니즘
NVD와 Wordfence 설명은 같은 흐름을 가리킨다.
wpgmp_temp_access_ajaxAJAX 액션이wp_ajax_nopriv_로 등록돼 비인증 호출을 받는다.- 보호 장치는
fc-call-nonce검사뿐이다. - 이 nonce는
wp_localize_script를 통해 프런트엔드의wpgmp_local.nonce로 노출된다. - 공격자는
check_temp=false를 넣어wpgmp_temp_access_support경로를 호출할 수 있다. - 이 경로는
wp_insert_user()로administrator권한 사용자를 만든다. - 이어서 매직 로그인 URL을 반환하고, 해당 URL 방문 시
wp_set_auth_cookie()가 호출된다.
핵심 포인트
이 취약점의 핵심은 nonce 우회가 아니라, 공개 페이지에 실린 nonce를 접근 통제처럼 사용한 설계다. check_temp=false가 들어간 비인증 요청이 관리자 계정 생성으로 바로 이어진다.
결과적으로 관측 가능한 primitive는 비인증 AJAX 호출 -> 관리자 계정 생성 -> 매직 로그인 URL 발급이다. 로그인 URL 이후 동작까지는 NVD와 Wordfence가 설명하지만, 공개 자료만으로 개별 침해 사례의 후속 행위를 일반화할 근거는 제한적이다.
영향
관리자 계정이 새로 만들어지면 WordPress 관리 권한이 넘어간다. 그 시점부터 플러그인 설치, 테마 수정, 사용자 추가, 콘텐츠 변경, 설정 변경이 가능하다. 이 단계는 별도 취약점 연계가 아니라 관리자 권한 자체의 결과다.
원격 코드 실행이나 내부 확산은 관리자 권한 이후 환경에 따라 가능할 수 있지만, 제공된 공식 기술 자료만으로 이를 기본 결과처럼 단정할 수준은 아니다.
공격 흐름
### unauthenticated request
-> /wp-admin/admin-ajax.php
-> action=wpgmp_temp_access_ajax
-> check_temp=false
-> wpgmp_temp_access_support
-> wp_insert_user(role=administrator)
-> magic login URL returned
-> wp_set_auth_cookie() on URL visit
탐지 포인트
네트워크
짧은 시간 안에 다음 요청 흐름이 이어지면 우선 확인한다.
POST /wp-admin/admin-ajax.php
action=wpgmp_temp_access_ajax
check_temp=false
함께 볼 항목은 아래와 같다.
- 직전 프런트엔드 페이지 접근
admin-ajax.php로의 비인증 POST- 직후 관리자 경로 접근
- 같은 IP 또는 짧은 세션 간격의 신규 로그인
엔드포인트
중점 경로는 다음 셋이다.
/wp-admin/admin-ajax.php
/wp-admin/
/wp-login.php
공개 자료에서 직접 확인되는 파라미터는 다음이다.
action=wpgmp_temp_access_ajaxcheck_temp=false
서버
애플리케이션 로그와 사용자 변경 이력을 같이 본다.
grep -R "wpgmp_temp_access_ajax" /var/log/nginx /var/log/apache2
grep -R "check_temp=false" /var/log/nginx /var/log/apache2
grep -R "wp_insert_user\|user_register" /var/log/php*
grep -R "administrator" /var/log/php* /var/log/nginx /var/log/apache2
확인 우선순위는 다음 순서가 효율적이다.
- 최근 생성된
administrator역할 사용자 - 해당 시각 전후의
admin-ajax.php요청 - 신규 관리자 계정의 첫 로그인 시각
wp-content/plugins/,wp-content/themes/,wp-content/uploads/내 신규 PHP 파일- 플러그인 설치, 테마 변경, 옵션 수정 이력
대응
6.1.1로 업데이트하는 것이 직접적인 조치다. 업데이트가 바로 어렵다면 플러그인을 비활성화하거나 외부에서 admin-ajax.php 접근을 임시 제한하는 방안을 검토한다.
이미 노출됐을 가능성도 같이 본다.
- WP Maps Pro 설치 여부와 버전을 확인한다.
6.1.0이하 자산에서 예상하지 못한 관리자 계정을 점검한다.- 의심 계정은 세션과 함께 폐기한다.
- WordPress 관리자 비밀번호와 salts를 교체한다.
- 최근 플러그인, 테마, 업로드 디렉터리 변경 사항을 점검한다.
계정만 삭제하고 끝내면 부족하다. 관리자 권한으로 들어간 뒤 남긴 설정 변경과 파일 변경까지 같이 확인해야 한다.
참고 자료
- NVD - CVE-2026-8732
- Wordfence Intelligence - WP Maps Pro <= 6.1.0 - Unauthenticated Privilege Escalation
- Critical WP Maps Pro Flaw Actively Exploited to Create Admin Accounts
- A WordPress plugin sold to 15,000 sites has a flaw that lets anyone create an admin account, and attackers are already using it
- Critical vulnerability in WP Maps Pro allows rogue administrator account creation