Cybersécurité18 juillet 2026· via The Hacker News

Faille WordPress critique permettant l’exécution de code sans authentification

Faille WordPress critique permettant l’exécution de code sans authentification

Image : The Hacker News

Une faille critique dans le cœur de WordPress permet désormais à des attaquants non authentifiés d’exécuter du code arbitraire sur les sites vulnérables, les versions 6.9 et 7.0 étant toutes deux concernées. Ce problème initialement signalé s’est transformé en une vulnérabilité de haute gravité — surnommée wp2shell — qui contourne entièrement l’authentification, signifiant qu’une installation fraîche de WordPress, sans aucun module complémentaire, peut être exploitée via une simple requête HTTP.

Déroulement de l’attaque

La vulnérabilité provient d’une validation incorrecte des saisies dans des composants centraux, permettant à des charges utiles malveillantes d’être traitées sans identifiants utilisateur. Des chercheurs en sécurité indiquent que cette faille peut déclencher une condition de cache d’objets persistants, donnant aux attaquants la possibilité de maintenir leur accès même après l’exploitation initiale. Une preuve de concept fonctionnelle a été publiée, confirmant la faisabilité d’une exécution de code à distance (RCE) dans les configurations par défaut.

Conséquences immédiates pour les propriétaires de sites

Comme la faille réside dans le cœur de WordPress, la surface d’attaque est exceptionnellement large. Les administrateurs utilisant des versions non corrigées — en particulier ceux ignorant les nouveaux identifiants CVE — sont exposés à un risque urgent. Cette découverte intervient alors que WordPress alimente plus de 43 % de tous les sites web, amplifiant l’impact potentiel. Les hébergeurs et les équipes de sécurité sont invités à prioriser les mises à jour et à surveiller les signes de compromission.

Pourquoi cette faille est importante

Cette vulnérabilité illustre la sophistication croissante des attaques ciblant les plateformes largement utilisées. Contrairement aux bugs spécifiques aux modules, les failles du cœur peuvent ébranler la confiance dans WordPress lui-même, imposant des cycles de correction rapides sur des millions de sites. Pour les utilisateurs, la leçon est claire : les mises à jour automatiques ne sont plus facultatives, et les examens manuels des modifications du cœur doivent devenir une routine. La publication d’une preuve de concept augmente la mise, transformant des risques théoriques en menaces immédiates pour les imprudents.


Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur The Hacker News →

← Retour à l'accueil