## https://sploitus.com/exploit?id=105190B4-DF97-59F6-91BF-BF55716FCF79
# CVE-2026-8732 - WP Maps Pro &check_temp=false'
# 3. Login via magic URL
curl -sk -L -c cookies.txt "https://target.com/?wpgmp_access="
```
---
## Persyaratan
```bash
pip install aiohttp
```
---
## Kondisi Eksploitasi
RCE berhasil **JIKA DAN HANYA JIKA**:
1. **Versi plugin โค 6.1.0** โ Aksi `wp_ajax_nopriv_` masih terdaftar
2. **GOLD addon AKTIF** โ Kelas `WPGMP_Temp_Access` tersedia (tidak crash)
3. **Server Apache** โ `.php` dieksekusi di folder uploads/ (nginx blokir 403)
---
## Arsitektur
```
CVE-2026-8732.py
โโโ PencariNonce (NonceFinder) โ 7 metode pencarian nonce
โโโ Eksploitasi (Exploiter) โ 9 fase rantai serangan
โโโ ProsesPekerja (Worker) โ Multiprocessing + asyncio
โโโ Pemindai (Scanner) โ Orkestrator antarmuka pengguna
```
---
## File
| File | Deskripsi |
|------|-----------|
| `CVE-2026-8732.py` | Skrip eksploitasi otomatis |
| `POC_CVE-2026-8732.md` | Dokumen Proof of Concept lengkap |
---
## Disclaimer
**ALAT INI HANYA UNTUK PENGGUNAAN YANG SAH.** Hanya gunakan pada sistem yang Anda miliki atau memiliki izin eksplisit untuk menguji. Penggunaan tanpa izin adalah **ILEGAL** dan **TIDAK ETIS**. Penulis tidak bertanggung jawab atas penyalahgunaan.
---
## Lisensi
```
MIT License
Copyright (c) 2026 XENON1337
Izin diberikan secara cuma-cuma kepada siapapun yang mendapatkan salinan
perangkat lunak ini, untuk bertransaksi tanpa batasan, termasuk hak untuk
menggunakan, menyalin, memodifikasi, menggabungkan, mempublikasikan,
mendistribusikan, mensublisensikan, dan/atau menjual salinan Perangkat Lunak.
PERANGKAT LUNAK DISEDIAKAN "SEBAGAIMANA ADANYA", TANPA JAMINAN APAPUN.
```