Vulnérabilité RCE critique dans le cœur de WordPress (CVE-2026-63030)
Ce texte a été généré par l'intelligence artificielle (IA).Le 17 juillet 2026, une faille de sécurité critique a été révélée au cœur du système de gestion de contenu WordPress. Cette faille, répertoriée sous le nom de CVE-2026-63030, permet aux pirates d'exécuter du code arbitraire (Remote Code Execution, RCE) sur les serveurs concernés. Au moment de la publication, aucun score CVSS officiel n'avait encore été attribué par le NVD/MITRE ; dans son analyse, Cloudflare classe cette vulnérabilité comme Critique . Étant donné que cette attaque ne nécessite aucune authentification et qu'elle réussit, selon Cloudflare, à cibler les installations ne disposant pas d'un cache d'objets persistant, elle représente un risque considérable pour les administrateurs de sites WordPress.
Cette faille de sécurité, également connue sous le nom de „ wp2shell “, résulte de la combinaison de deux vulnérabilités : une „ confusion de route de lot “ dans l'API REST et une faille d'injection SQL (CVE-2026-60137). En raison du niveau de gravité élevé de cette faille, l'équipe de sécurité de WordPress a activé une mise à jour automatique obligatoire pour les installations concernées, une mesure qui n'est prise qu'en cas de menaces graves.
Contexte technique et déroulement de l'attaque
Le point d'attaque est le terminal accessible au public /wp-json/batch/v1 de l'API REST de WordPress. Une erreur de logique dans la routine de traitement des requêtes groupées dans le fichier class-wp-rest-server.php permet de contourner la validation interne des routes. Les attaquants peuvent ainsi envoyer des requêtes à des fonctions API internes qui nécessitent normalement une authentification.
Dans un deuxième temps, cet accès non autorisé est exploité pour tirer parti d'une vulnérabilité de type injection SQL dans le fichier class-wp-query.php en tirer parti. Cela permet d'injecter et d'exécuter des commandes SQL manipulées dans la base de données, ce qui conduit finalement à la compromission totale du système par l'exécution de code à distance.
Cette vulnérabilité a été signalée par Adam Kues (Searchlight Cyber) dans le cadre d'un processus de divulgation responsable. L'injection SQL associée a été découverte par une équipe composée de TF1T, dtro et haongo.
Versions concernées et mesures recommandées
Tous les administrateurs de sites WordPress doivent agir sans délai. La mesure principale consiste à effectuer une mise à jour vers une version sécurisée.
Versions concernées par la vulnérabilité RCE (CVE-2026-63030) :
WordPress 6.9.0 à 6.9.4
WordPress 7.0.0 à 7.0.1
Versions concernées par la vulnérabilité de type injection SQL (CVE-2026-60137) :
WordPress 6.8.0 à 6.8.5
Mesures d'urgence :
Mise à jour vers la version 7.0.2: Corrige ces deux vulnérabilités.
Mise à jour vers la version 6.9.5 : Corrige ces deux vulnérabilités pour la branche 6.9.x.
Mise à jour vers la version 6.8.6 : Corrige la faille de type « injection SQL » pour la branche 6.8.x.
Mesures d'urgence (si une mise à jour n'est pas possible immédiatement) :
Blocage du chemin /wp-json/batch/v1 ainsi que ?rest_route=/batch/v1 via un pare-feu d'application web (WAF).
Désactivation temporaire de l'API REST de WordPress, si celle-ci n'est pas absolument nécessaire.
Importance pour les entreprises de la région DACH et la conformité
WordPress est l'une des plateformes les plus utilisées au monde ; l'impact potentiel est donc d'autant plus important dans la région DACH. Les entreprises qui utilisent WordPress pour leurs sites web publics, leurs portails clients ou leurs microsites internes devraient vérifier sans délai si leurs installations sont à jour. Si des données à caractère personnel ont été compromises à la suite de l’exploitation de cette vulnérabilité, l’obligation de notification prévue à l’article 33 du RGPD s’applique (délai de 72 heures auprès de l’autorité de contrôle compétente). Pour les opérateurs relevant de la directive NIS-2, une attaque réussie peut en outre entraîner des obligations de notification au titre de l’article 23 de la directive NIS-2. Le BSI recommande de manière générale d’appliquer sans délai les mises à jour de sécurité disponibles pour les applications web exposées.
La visibilité, fondement de la cybersécurité et de la conformité
Des failles telles que CVE-2026-63030 soulignent la nécessité d'avoir une vue d'ensemble complète et continue de tous les systèmes informatiques accessibles depuis l'extérieur. Une plateforme de gestion de la surface d'attaque externe (EASM) telle que LocateRisk recense automatiquement l'ensemble de la surface d'attaque d'une entreprise. Cela inclut non seulement le site web principal de l’entreprise, mais aussi les systèmes de « shadow IT » souvent négligés, tels que les blogs marketing oubliés, les environnements de test ou les microsites, qui pourraient également fonctionner sous une version vulnérable de WordPress.
L'identification précise des versions logicielles utilisées permet aux équipes de sécurité de sécuriser les systèmes concernés de manière ciblée et sans délai. Ce processus constitue un élément essentiel de la gestion des risques et favorise le respect des exigences réglementaires et des normes telles que NIS-2 ou ISO 27001, qui imposent une gestion active des vulnérabilités.
De plus, la surveillance des prestataires dans le cadre de la gestion des risques liés aux fournisseurs (VRM) est essentielle. Si une agence externe gère un site WordPress pour votre entreprise, toute faille de sécurité de cette dernière devient un risque pour vous. LocateRisk facilite l'évaluation continue de la situation de sécurité des fournisseurs et aide à déterminer si leurs systèmes sont également conformes aux exigences réglementaires en vigueur. La plateforme est hébergée dans des centres de données allemands certifiés et aide les clients à se conformer aux exigences du RGPD.
La vulnérabilité permettant l'exécution de code à distance concerne les versions 6.9.0 à 6.9.4 de WordPress, ainsi que les versions 7.0.0 et 7.0.1. Les installations de WordPress antérieures à la version 6.9.0 ne sont pas concernées par cette vulnérabilité RCE.
Oui, votre installation n'est pas concernée par la vulnérabilité RCE. Elle est toutefois exposée à la faille d'injection SQL associée. CVE-2026-60137. Une mise à jour vers la version 6.8.6 est vivement recommandé.
Oui, l'équipe WordPress a publié des mises à jour de sécurité le 17 juillet 2026. En fonction de la version que vous utilisez actuellement, vous devriez effectuer la mise à jour vers WordPress 7.0.2, 6.9.5 ou 6.8.6 Mettre à jour. WordPress a également activé les mises à jour automatiques forcées pour les versions concernées.
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.