CVE-2026-25470 : Vulnérabilité critique dans le plugin WordPress ACPT (CVSS 10.0)
Le 16 juin 2026, une vulnérabilité critique a été découverte dans le plugin WordPress „ ACPT (Pro) – Custom Post Types “, sous le numéro d'identification CVE-2026-25470 (qui ne figurait pas encore dans le catalogue NVD au moment de la publication) a été rendue publique. Cette vulnérabilité se voit attribuer le score CVSS maximal de 10.0 est considérée comme critique et permet à des attaquants d'exécuter du code arbitraire sans authentification (exécution de code à distance, RCE). Toutes les versions du plugin jusqu'à et y compris 2.0.47 sont concernés, ce qui représente un risque de sécurité considérable pour les exploitants des sites web concernés.
Analyse technique de la vulnérabilité
Cette vulnérabilité est désignée sous le nom de CWE-94 (Contrôle inadéquat de la génération de code), également connue sous le nom d’« injection de code ». Elle permet à un attaquant distant non authentifié d’injecter son propre code directement dans le contexte du serveur web et de l’exécuter. Cela permet de prendre le contrôle total de l’instance WordPress. La description technique complète se trouve dans le Avis Patchstack consultable.
Le vecteur CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H décrit la nature critique du problème. Les principaux paramètres sont expliqués ci-dessous :
- AV:N (Vecteur d'attaque : Réseau) : L'attaque peut être lancée via Internet.
- AC:L (Complexité de l'attaque : faible) : Aucune préparation complexe n'est nécessaire pour mener une attaque réussie.
- PR:N (Privilèges requis : aucun) : L'attaquant n'a besoin ni d'identifiants ni d'autorisations existantes.
- UI:N (Interaction utilisateur : Aucune) : Une attaque ne nécessite aucune interaction de la part de l'utilisateur.
- S:C (Portée : modifiée) : L'attaquant peut, via le plugin WordPress, compromettre d'autres ressources du serveur web ou du système d'exploitation sous-jacent.
Cette découverte est attribuée au chercheur en sécurité Jarno Vos, qui a signalé le problème via le programme de prime aux bogues de Patchstack.
Conséquences sur la sécurité de l'entreprise et la conformité
Une exploitation réussie de la vulnérabilité CVE-2026-25470 peut entraîner la compromission de l'ensemble du site web. Cela peut notamment entraîner le vol de données sensibles issues de la base de données (par exemple, des données clients), la propagation de logiciels malveillants ou l’intégration du site web dans un réseau de zombies. De tels incidents constituent non seulement un risque technique, mais aussi un risque en matière de conformité. Dans le cadre de réglementations telles que NIS-2 ou des certifications conformes à ISO 27001 Les organisations sont tenues de mettre en place une gestion efficace des vulnérabilités et de réagir rapidement aux menaces critiques.
Pour les organisations situées en Allemagne, en Autriche et en Suisse, cela entraîne en outre des obligations juridiques concrètes : si l'exploitation de cette faille entraîne une fuite de données à caractère personnel, la Obligation de notification au titre du RGPD, conformément à l'article 33: Les responsables doivent signaler l'incident dans un délai de 72 heures le signaler à l'autorité compétente en matière de protection des données. Les exploitants d'infrastructures essentielles ou importantes au sens de la Directive NIS 2 sont en outre tenus de signaler sans délai tout incident de sécurité majeur et de mettre en place des mesures de protection appropriées. Le BSI recommande en principe de désactiver immédiatement les plugins non mis à jour présentant un score CVSS critique, jusqu’à ce qu’un correctif officiel du fabricant soit disponible.
Mesures d'urgence recommandées
Au moment de la publication, le 16 juin 2026, la situation était la suivante : pas de correctif de sécurité officiel par l'éditeur du plugin. Il n'existe actuellement aucune version corrigée du plugin ACPT ; dès qu'une version corrigée sera disponible, une mise à jour immédiate sera nécessaire. Il est donc vivement recommandé aux administrateurs de mettre en œuvre la mesure suivante :
Recommandation principale : désactiver le plugin La méthode la plus sûre pour minimiser les risques consiste à désactiver et à désinstaller immédiatement le plugin ACPT sur tous les systèmes WordPress. Cela permet de supprimer complètement le composant vulnérable de l'environnement du système.
Pour les clients du prestataire de services de sécurité Patchstack, un correctif virtuel (vPatch) est disponible, à condition que Patchstack l'ait fourni pour cette vulnérabilité CVE ; celui-ci permet de bloquer la tentative d'attaque au niveau du pare-feu d'application web (WAF). Cette solution ne doit toutefois être considérée que comme une mesure provisoire, en attendant la publication d'une version officiellement corrigée du plugin.
Assurer la transparence de la surface d'attaque avec LocateRisk
Des vulnérabilités telles que CVE-2026-25470 montrent à quelle vitesse un simple composant non corrigé peut devenir une faille dans l'ensemble d'une infrastructure numérique, en particulier lorsque les installations WordPress en entreprise se sont multipliées au fil du temps et n'ont plus fait l'objet d'un inventaire complet.
Le site Gestion de la surface d'attaque externe (EASM)La plateforme de LocateRisk automatise la collecte et l'évaluation en continu de tous les systèmes informatiques accessibles depuis l'extérieur. Elle identifie les installations WordPress accessibles au public, y compris celles qui ont été oubliées au fil du temps ou qui sont gérées par des agences externes sans documentation centralisée, et détecte, grâce à des méthodes d’empreinte numérique, les plugins utilisés tels que ACPT. Les équipes de sécurité informatique disposent ainsi d’une vue d’ensemble rapide et précise des systèmes affectés par une vulnérabilité critique avant même qu’un incident de sécurité ne se produise.
LocateRisk fait office de système d'alerte précoce numérique : au lieu de devoir vérifier manuellement des dizaines d'instances, les RSSI et les équipes informatiques voient d'un seul coup d'œil quels systèmes sont concrètement affectés par la vulnérabilité CVE-2026-25470 et peuvent prendre des mesures correctives avant que les pirates n'exploitent cette faille.
Si des prestataires externes ou des agences gèrent des installations WordPress pour le compte de votre entreprise, cela engendre un risque supplémentaire lié aux fournisseurs : la sécurité de votre présence numérique dépend alors également de la gestion des correctifs par des tiers. Avec Gestion continue des risques liés aux fournisseurs (C-VRM) LocateRisk facilite l'évaluation automatisée de la sécurité de ces prestataires et assure la transparence sur les risques présents dans la chaîne d'approvisionnement numérique. La plateforme LocateRisk est hébergée dans des centres de données allemands et aide les organisations à se conformer aux exigences du RGPD.
Sources et informations complémentaires
Sources et informations complémentaires
Connaissez-vous votre surface d'attaque externe ?
LocateRisk identifie en continu et de manière automatisée vos systèmes informatiques externes et évalue leur niveau de sécurité. Obtenez une vision claire de vos actifs exposés.
Demander un contrôle de sécurité gratuit
Questions fréquentes
CVE-2026-25470 est une vulnérabilité critique (CVSS 10.0) dans le plugin WordPress „ ACPT (Pro) – Custom Post Types “, classée sous le code CWE-94 (injection de code). Elle permet à des attaquants d’injecter du code malveillant via le réseau afin de prendre le contrôle total du serveur web (changement de périmètre). La vulnérabilité a été rendue publique le 16 juin 2026 par le programme de prime aux bogues Patchstack.
Toutes les versions du plugin jusqu'à et y compris 2.0.47 sont concernés par cette vulnérabilité. À la date de publication (16 juin 2026), pas de correctif officiel fourni par le fabricant. Il est recommandé de désactiver et de désinstaller immédiatement le plugin jusqu'à ce qu'une version corrigée soit disponible.
La recommandation principale est de désactiver et de désinstaller immédiatement le plugin ACPT. Les clients de Patchstack peuvent, dans la mesure où un correctif virtuel (vPatch) correspondant à cette vulnérabilité CVE a été mis à disposition, activer une protection temporaire au niveau du WAF. Celle-ci ne remplace toutefois pas le correctif officiel du fabricant et ne doit être utilisée qu’à titre de mesure provisoire.
Français 
Deutsch 
English