CVE-2026-3584 : RCE critique Kali Forms WordPress (9.8)

Les faits

La vulnérabilité CVE-2026-3584, publiée le 15 avril 2026 par l'équipe Wordfence Intelligence et confirmée par SentinelOne, affecte le plugin WordPress Kali Forms, utilisé pour générer des formulaires de contact, de devis et de paiement sur plusieurs dizaines de milliers de sites. La faille obtient un score CVSS v3.1 de 9.8 (Critical) et permet à un attaquant non authentifié d'exécuter du code PHP arbitraire sur le serveur web. Selon les remontées de Wordfence et de Sucuri, l'exploitation de masse a démarré dans les 24 heures suivant la divulgation : plus de 50 000 tentatives d'exploitation ont été bloquées par le WAF Wordfence en moins de trois jours. La vulnérabilité est désormais intégrée aux kits d'exploitation automatisés ciblant les CMS WordPress grand public, et plusieurs hébergeurs français ont émis des alertes à leurs clients mutualisés.

Le défaut se situe dans la fonction form_process du plugin, plus précisément dans prepare_post_data. Cette routine mappe directement les clés fournies par l'utilisateur (issues du POST du formulaire) dans le stockage interne de placeholders ; ces placeholders sont ensuite traités via l'API PHP call_user_func, qui invoque dynamiquement des fonctions dont le nom provient de l'entrée utilisateur. Un attaquant qui forge une soumission de formulaire contenant un placeholder malicieux peut donc contraindre WordPress à exécuter des fonctions arbitraires, y compris des fonctions PHP natives permettant de lire, d'écrire ou d'exécuter du code sur le système de fichiers.

Les chercheurs à l'origine de la découverte (équipe Wordfence Threat Intelligence) précisent que l'exploitation est triviale : une seule requête POST suffit, sans authentification ni interaction utilisateur. Le patch officiel — Kali Forms 2.4.10 — a été publié par l'éditeur le 12 avril 2026, mais les statistiques WordPress.org indiquent qu'au 19 avril, moins de 40 % des installations sont à jour.

Impact et exposition

Plus de 10 000 sites WordPress sont directement exposés selon les scans Wordfence. L'exploitation aboutit à une prise de contrôle totale du site : déploiement de webshells PHP, création de comptes administrateurs cachés, injection de code de skimming sur les pages e-commerce (Magecart), redirection vers des sites de phishing, et pivotement vers d'autres sites hébergés sur le même compte mutualisé. Les hébergeurs mutualisés — OVH, o2switch, Infomaniak, Hostinger — sont particulièrement exposés au risque de propagation latérale, un site compromis permettant souvent d'atteindre les voisins via des permissions laxistes.

Le profil d'attaque observé par Sucuri ressemble à celui des grandes campagnes WordPress de 2024-2025 : scan massif et indifférencié des sites via l'empreinte Kali Forms dans le HTML, exploitation automatique, persistance par webshell, puis monétisation par SEO poisoning ou cryptojacking. Les TPE/PME utilisant WordPress pour leur site vitrine ou e-commerce constituent la cible de masse, avec un risque accru pour les sites de devis en ligne — cas d'usage principal de Kali Forms.

Recommandations immédiates

• Mettre à jour Kali Forms vers 2.4.10 ou supérieur — advisory Wordfence Vulnerability Database WF-2026-3584, éditeur Kali Forms release notes du 12 avril 2026.
• Désactiver le plugin si la mise à jour ne peut pas être appliquée immédiatement, ou si le site est en maintenance — c'est la seule mitigation fiable.
• Auditer les comptes administrateurs : lister les utilisateurs créés depuis le 10 avril 2026 via wp user list --role=administrator. Tout compte non reconnu doit être supprimé et les autres re-authentifiés avec MFA.
• Scanner le système de fichiers à la recherche de webshells : exécuter un scan Wordfence, ImunifyAV ou Patchstack, en cherchant les fichiers PHP modifiés depuis le 10 avril dans wp-content/uploads/.
• Purger le cache et les CDN (Cloudflare, WP Rocket) après nettoyage pour éviter la réinjection de pages malveillantes servies en cache.