DokuWiki : faille controversée liée aux comptes (CVE-2026-37106)
Ce texte a été généré par l'intelligence artificielle (IA).Dans le logiciel wiki open source très répandu DokuWiki est définie comme CVE-2026-37106 Une vulnérabilité a été évoquée, à laquelle la National Vulnerability Database (NVD) a attribué un score CVSS de 9.8 est classé. Contrairement à ce qu'indiquaient les premières informations, il s'agit il ne s'agit pas d'une exécution de code à distance, mais de la possibilité de créer un compte utilisateur via la fonction d'inscription (register dans inc/auth.php). Le fabricant conteste le fait qu'il s'agisse d'une faille de sécurité: Ce comportement serait intentionnel dès lors que l'auto-enregistrement optionnel est activé – une fonctionnalité qui, dans la configuration par défaut, désactivé . Cet article analyse objectivement cette information.
Faits essentiels :
Identifiant CVE : CVE-2026-37106
Niveau : CVSS 9,8 (critique) selon le NVD/CISA-ADP – ce que le fabricant conteste formellement
Type de vulnérabilité : Création non autorisée d'un compte via la registre-Fonction (CWE-640) – aucune Exécution de code à distance
Condition préalable : Pertinent uniquement si l'auto-enregistrement facultatif est activé (par défaut : désactivé)
Statut : Comportement contesté comme étant intentionnel ; aucun correctif annoncé ; aucune exploitation active connue
Ce que décrit réellement la vulnérabilité CVE-2026-37106
Selon NVD permet d'utiliser la fonction d'enregistrement (registre dans inc/auth.php) de la version 2025-05-14b „ Librarian “ de DokuWiki, permettant à un utilisateur distant de créer un compte. Le NVD classe cela parmi les vulnérabilités CWE-640 et attribue un score CVSS de 9,8 via l'enrichissement CISA-ADP. Un avis publié initialement sur GitHub faisait état d'une „ exécution de code arbitraire “ ; cette description est contradictoire et n'est pas corroborée par la description du NVD : Il s'agit de la création d'un compte, et non de l'exécution de code.
Remarque importante : Le développeur de DokuWiki nie l'existence de cette faille. L'auto-enregistrement est une fonctionnalité documentée, en option Fonctionnalité incluse dans l'installation par défaut désactivé . Si elle est activée intentionnellement, la création de comptes correspond au comportement attendu. La valeur CVSS élevée (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) ne reflète donc que de manière limitée l'impact réel d'un placement purement bancaire et est, de ce fait, controversé.
Quel est le risque réel ?
Pour les installations avec désactivé Auto-inscription – la configuration par défaut – : cette notification ne présente aucun risque immédiat. Lorsque l'auto-inscription est activée, un utilisateur non connecté peut créer lui-même un compte. Selon la configuration (par exemple, l'absence de vérification par e-mail) et les droits d'accès attribués (ACL), il pourrait ainsi accéder à des contenus non publics du wiki ou à des fonctionnalités réservées aux utilisateurs connectés. Contrairement à ce qui avait été initialement signalé, cette vulnérabilité ne permet pas l’exécution de code, la prise de contrôle du serveur ou un scénario de rançongiciel – pas en déduire.
Mesures recommandées
Compte tenu de la classification contestée, il convient d'adopter une approche réfléchie et axée sur la configuration :
Vérifier la configuration : Vérifiez si l'auto-enregistrement est activé. Dans la configuration par défaut, il est désactivé ; dans ce cas, ce message ne vous concerne pas.
Sécuriser l'inscription (le cas échéant) : Limitez l'inscription aux utilisateurs de confiance, activez la vérification par e-mail et vérifiez vos droits d'accès (ACL) afin que les nouveaux comptes créés n'aient pas accès à des contenus sensibles.
Suivre l'état des stocks et les mises à jour : Identifiez les instances DokuWiki exposées ainsi que leur version, et surveillez les canaux de publication officiels au cas où l'éditeur renforcerait encore la logique d'enregistrement à l'avenir.
Conformité aux exigences en matière de conformité
Au-delà de ce cas particulier, la gestion structurée des vulnérabilités et des configurations reste au cœur des normes de sécurité modernes : la directive européenne NIS-2 ainsi que la ISO 27001 (Annexe A, A.8.8) exigent la mise en place d'un processus bien défini pour la gestion des vulnérabilités techniques et des configurations sécurisées. Une obligation de déclaration conformément à Art. 33 du RGPD Cela ne se produit que s'il y a effectivement un accès non autorisé à des données à caractère personnel – si l'instance DokuWiki est correctement configurée, ce n'est pas le cas, comme l'indique ce message.
Comment LocateRisk assure la transparence
Les systèmes auto-hébergés tels que DokuWiki ne font souvent pas l'objet d'une documentation centralisée. Une surveillance continue de la surface d'attaque externe permet de garder un œil sur ces instances, ainsi que sur leur configuration et leur version.
Gestion de la surface d'attaque externe (EASM) : LocateRisk identifie les systèmes de votre organisation accessibles au public, y compris les sous-domaines oubliés, les ressources cloud non contrôlées et l'informatique fantôme. Les instances DokuWiki exposées sont détectées par empreinte digitale, ce qui vous permet d’identifier les installations obsolètes ou dont l’accès public n’est pas nécessaire, et de prendre les mesures nécessaires pour les sécuriser.
Gestion continue des risques liés aux fournisseurs (C-VRM) : Si des prestataires externes ou des partenaires exploitent pour votre compte des applications web exposées, leur niveau de sécurité et de mise à jour peut être évalué et suivi grâce à une gestion continue des risques liés aux fournisseurs.
Conçue comme une solution „ Made in Germany “, LocateRisk aide les entreprises à se conformer aux exigences du RGPD. Elle est hébergée dans des centres de données allemands certifiés et offre une protection contre le Cloud Act américain.
Sources et informations complémentaires
NVD/NIST (classification de référence, statut „ Disputed “) : CVE-2026-37106
Avis de GitHub (formulation contradictoire concernant l'exécution de code) : GHSA-4856-qxx9-mgf3
LocateRisk identifie vos systèmes informatiques externes et évalue leur sécurité de manière continue et entièrement automatisée. Vous pouvez ainsi détecter les vulnérabilités avant que des pirates ne s'en servent.
Non. La description officielle du NVD fait référence à la création d'un compte utilisateur via la fonction `register` dans `inc/auth.php`, et non à l'exécution de code. Une première alerte publiée sur GitHub mentionnait certes une „ exécution de code arbitraire “, mais cette formulation est contradictoire et n'est pas corroborée par le NVD.
Uniquement si vous avez activé l'auto-enregistrement (optionnel). Dans la configuration par défaut, cette option est désactivée ; dans ce cas, ce message ne présente aucun risque. Vérifiez votre configuration et les droits ACL attribués.
Non. Le fabricant conteste la qualification de cette fonctionnalité comme une vulnérabilité, car il s'agit d'un comportement intentionnel lié à l'auto-enregistrement optionnel (statut NVD „ Disputed “). Aucun correctif de sécurité n'est donc prévu. La protection s'effectue via la configuration : il convient de désactiver ou de limiter l'auto-enregistrement.
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.