Vulnérabilité RCE critique dans le cœur de WordPress (CVE-2026-63030)


Ce texte a été généré par l'intelligence artificielle (IA).Le 17 juillet 2026, une faille de sécurité critique a été révélée au cœur du système de gestion de contenu WordPress. Cette faille, répertoriée sous le nom de CVE-2026-63030, permet aux pirates d'exécuter du code arbitraire (Remote Code Execution, RCE) sur les serveurs concernés. Au moment de la publication, aucun score CVSS officiel n'avait encore été attribué par le NVD/MITRE ; dans son analyse, Cloudflare classe cette vulnérabilité comme Critique . Étant donné que cette attaque ne nécessite aucune authentification et qu'elle réussit, selon Cloudflare, à cibler les installations ne disposant pas d'un cache d'objets persistant, elle représente un risque considérable pour les administrateurs de sites WordPress.

Cette faille de sécurité, également connue sous le nom de „ wp2shell “, résulte de la combinaison de deux vulnérabilités : une „ confusion de route de lot “ dans l'API REST et une faille d'injection SQL (CVE-2026-60137). En raison du niveau de gravité élevé de cette faille, l'équipe de sécurité de WordPress a activé une mise à jour automatique obligatoire pour les installations concernées, une mesure qui n'est prise qu'en cas de menaces graves.