WordPress Core “wp2shell” RCE flaws get public exploits, patch now

1 minute de lecture

Mis à jour :

Alerte critique : Vulnérabilités RCE dans le cœur de WordPress

Une chaîne d’exploitation critique, baptisée « wp2shell », permet l’exécution de code à distance (RCE) non authentifiée sur les installations WordPress. Des exploits exploitant ces failles sont désormais publics et des tentatives d’attaques actives ont été signalées.

Points clés :

  • Impact : La vulnérabilité affecte plus de 500 millions de sites WordPress.
  • Mécanisme : L’attaque combine deux failles distinctes pour contourner l’authentification et prendre le contrôle du site.
  • Versions affectées : WordPress 6.9.0 à 6.9.4 et 7.0.0 à 7.0.1.
  • Réaction : L’équipe WordPress a activé des mises à jour forcées pour les sites concernés.

Vulnérabilités identifiées :

  • CVE-2026-63030 : Confusion de routage par lot (batch-route) dans l’API REST, présente depuis la version 6.9.
  • CVE-2026-60137 : Injection SQL dans le paramètre author__not_in de la classe WP_Query, affectant les versions 6.8 et ultérieures.

Recommandations :

  • Action immédiate : Mettre à jour les sites vers WordPress 7.0.2 ou 6.9.5 sans délai.
  • Mesures temporaires (si la mise à jour est impossible) :
    • Bloquer l’accès anonyme à l’API REST via un plugin.
    • Configurer le pare-feu applicatif (WAF) pour bloquer les requêtes ciblant /wp-json/batch/v1 et ?rest_route=/batch/v1.
  • Vérification : Utiliser le site wp2shell.com pour tester si votre installation est vulnérable.

Source