В плагине WP Maps Pro (версии ≤ 6.1.0) обнаружена критическая уязвимость CVE‑2026‑8732 (CVSS 9.8), позволяющая без аутентификации создать аккаунт администратора через уязвимый AJAX‑эндпоинт. Эксплуатация уже началась: Wordfence за сутки зафиксировал ~2858 попыток, Defiant — 3600 атак. Разработчики выпустили исправление в версии 6.1.1 (20 мая 2026), ограничив доступ к эндпоинту. Администраторам WordPress настоятельно рекомендуется немедленно обновить плагин.
