Plataforma
wordpress
Componente
wp-google-map-plugin
Corrigido em
5.0.0
A vulnerabilidade CVE-2026-3222 é uma falha de injeção SQL de tipo time-based blind encontrada no plugin WP Maps para WordPress. Essa falha permite que um atacante execute consultas SQL maliciosas, potencialmente comprometendo a integridade e confidencialidade dos dados armazenados no banco de dados. As versões afetadas são da 0.0.0 até a 4.9.1, e a correção foi disponibilizada na versão 4.9.2.
Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado a informações sensíveis armazenadas no banco de dados do WordPress, como dados de usuários, informações de localização e detalhes de pedidos. A injeção SQL permite a extração de dados, modificação de registros e, em alguns casos, até mesmo a execução de comandos no servidor. Dada a natureza do plugin WP Maps, que frequentemente armazena informações de localização e dados de contato, o impacto pode ser significativo, expondo informações pessoais e comprometendo a reputação do site. A exploração bem-sucedida pode levar à exfiltração de dados, manipulação de informações e até mesmo à tomada de controle do site.
A vulnerabilidade foi divulgada em 11 de março de 2026. Não há evidências de exploração ativa em campanhas em larga escala no momento. A vulnerabilidade está listada no NVD (National Vulnerability Database). A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração pode ser relativamente simples para um atacante com conhecimento em SQL Injection.
Status do Exploit
EPSS
0.21% (percentil 43%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin WP Maps para a versão 4.9.2 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao parâmetro 'location_id' através de um firewall de aplicação web (WAF) ou regras de proxy. Monitore os logs do servidor e do banco de dados em busca de atividades suspeitas, como consultas SQL incomuns. Implementar uma validação robusta de entrada em todos os parâmetros do plugin também pode ajudar a prevenir futuras injeções SQL.
Atualize para a versão 4.9.2, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a type of attack where the attacker infers information from the database by observing the server's response times. There's no direct visible response, but the attacker deduces information based on how long the server takes to respond to different queries.
It allows an attacker to access sensitive database information, modify data, or even gain control of the website, which can have severe security and privacy consequences.
As a temporary measure, restrict access to the wpgmpajaxcall AJAX endpoint to authenticated users and monitor server logs for suspicious activity.
If you are using a version of WP Maps prior to 4.9.2, your website is vulnerable. You can use vulnerability scanning tools to confirm.
You can find more information about CVE-2026-3222 in vulnerability databases such as the National Vulnerability Database (NVD) and on the WP Maps support forums.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.