New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code
Mis à jour :
Vulnérabilité critique “wp2shell” dans le cœur de WordPress
Une faille de sécurité majeure, baptisée wp2shell, permet à un attaquant non authentifié d’exécuter du code arbitraire (RCE) sur une installation WordPress standard, sans plugin requis. La vulnérabilité repose sur le chaînage de deux failles distinctes.
Points clés :
- Mécanisme : L’attaque combine une confusion de route dans l’API REST (
/wp-json/batch/v1) et une injection SQL dansWP_Query. - Impact : Un attaquant peut exécuter du code à distance. L’exploitation est facilitée par la disponibilité publique d’un PoC (Proof-of-Concept) sur GitHub.
- Portée : Les versions 6.9.x et 7.0.x sont vulnérables à la chaîne complète RCE. Les versions 6.8.x sont uniquement exposées à l’injection SQL.
- Atténuation naturelle : Les sites utilisant un cache d’objets persistant (type Redis ou Memcached) pourraient être épargnés par le vecteur d’exécution de code, mais restent vulnérables à l’injection SQL.
Vulnérabilités identifiées :
- CVE-2026-63030 : Confusion de route par lot (batch-route) dans l’API REST.
- CVE-2026-60137 : Injection SQL dans le cœur de WordPress.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs WordPress versions 6.8.6, 6.9.5 ou 7.0.2 selon votre branche actuelle. Vérifiez manuellement que la mise à jour automatique a bien été effectuée.
- Filtrage WAF : En attendant la mise à jour, bloquez les accès aux routes
/wp-json/batch/v1etrest_route=/batch/v1via votre pare-feu applicatif. - Mesures d’urgence : Désactiver l’API REST pour les utilisateurs non authentifiés ou installer un plugin de sécurité bloquant les requêtes anonymes vers le endpoint
/batch/v1. - Vérification : Utiliser des outils de scan pour identifier si votre site est vulnérable, bien que la priorité absolue demeure l’installation du correctif officiel.
