WordPress Core “wp2shell” RCE flaws get public exploits, patch now
Mis à jour :
Alerte critique : Vulnérabilités RCE dans le cœur de WordPress
Une chaîne d’exploitation critique, baptisée « wp2shell », permet l’exécution de code à distance (RCE) non authentifiée sur les installations WordPress. Des exploits exploitant ces failles sont désormais publics et des tentatives d’attaques actives ont été signalées.
Points clés :
- Impact : La vulnérabilité affecte plus de 500 millions de sites WordPress.
- Mécanisme : L’attaque combine deux failles distinctes pour contourner l’authentification et prendre le contrôle du site.
- Versions affectées : WordPress 6.9.0 à 6.9.4 et 7.0.0 à 7.0.1.
- Réaction : L’équipe WordPress a activé des mises à jour forcées pour les sites concernés.
Vulnérabilités identifiées :
- CVE-2026-63030 : Confusion de routage par lot (batch-route) dans l’API REST, présente depuis la version 6.9.
- CVE-2026-60137 : Injection SQL dans le paramètre
author__not_inde la classeWP_Query, affectant les versions 6.8 et ultérieures.
Recommandations :
- Action immédiate : Mettre à jour les sites vers WordPress 7.0.2 ou 6.9.5 sans délai.
- Mesures temporaires (si la mise à jour est impossible) :
- Bloquer l’accès anonyme à l’API REST via un plugin.
- Configurer le pare-feu applicatif (WAF) pour bloquer les requêtes ciblant
/wp-json/batch/v1et?rest_route=/batch/v1.
- Vérification : Utiliser le site wp2shell.com pour tester si votre installation est vulnérable.
