En bref

  • Chaîne CVE-2026-5073 / CVE-2026-5074 / CVE-2026-5076 (CVSS 9.8) : prise de contrôle administrateur WordPress sans authentification via ARMember Premium
  • Versions affectées : ARMember Premium jusqu'à 7.3.1 inclus — plugin de membership WordPress
  • Action urgente : mettre à jour vers ARMember Premium 7.3.2 immédiatement via le tableau de bord WordPress

Les faits

Trois vulnérabilités découvertes et publiées simultanément le 4 juin 2026 dans le plugin ARMember Premium pour WordPress forment une chaîne d'attaque dévastatrice permettant à un attaquant non authentifié de prendre le contrôle total d'un site WordPress, jusqu'au compte administrateur. La sévérité maximale de cette chaîne est évaluée à CVSS 9.8 (Critical), selon les bulletins de sécurité publiés sur GitHub Advisory Database (GHSA-53mc-7vx2-cm58) et relayés par Wordfence Intelligence et Patchstack.

La première vulnérabilité, CVE-2026-5073, est une injection SQL non authentifiée exploitant le paramètre 'order' de l'action AJAX 'arm_directory_paging_action'. Le plugin ne procède pas à un échappement suffisant des paramètres fournis par l'utilisateur avant de les intégrer dans la requête SQL générée, et ne prépare pas correctement les requêtes (absence de requêtes préparées avec placeholders). Un attaquant non authentifié peut ainsi envoyer des valeurs forgées dans ce paramètre via une simple requête POST vers /wp-admin/admin-ajax.php et extraire des données sensibles de la base de données WordPress, dont le contenu intégral de la table wp_usermeta. Il s'agit d'une injection SQL basée sur le temps (time-based blind) ou en erreur (error-based), selon les conditions du serveur cible.

La deuxième vulnérabilité, CVE-2026-5074, est une injection SQL similaire mais exploitant le paramètre 'sSortDir_0' de l'action AJAX 'get_private_content_data'. Ce paramètre est concaténé directement dans la clause ORDER BY de la requête SQL sans vérification de liste blanche (whitelist), permettant à un attaquant disposant d'un accès de niveau Subscriber (niveau le plus bas d'authentification WordPress) d'exfiltrer des données de la base. Contrairement à CVE-2026-5073, cette injection nécessite un compte valide sur le site cible, mais dans de nombreux cas les sites WordPress permettent l'enregistrement libre des utilisateurs, rendant cette contrainte négligeable.

La troisième et principale vulnérabilité, CVE-2026-5076 (CVSS 9.8), réside dans un mécanisme de réinitialisation de mot de passe fondamentalement dangereux. Lorsqu'un utilisateur demande une réinitialisation de mot de passe, ARMember Premium stocke une copie en clair de la clé de réinitialisation dans le champ 'arm_reset_password_key' de la table wp_usermeta, en complément de la clé hachée que WordPress core stocke de manière sécurisée dans le champ user_activation_key de wp_users. Cette clé en clair dans wp_usermeta peut ensuite être utilisée directement avec l'action de réinitialisation personnalisée 'armrp' du plugin pour définir un nouveau mot de passe pour n'importe quel utilisateur, y compris les administrateurs.

La chaîne d'attaque complète s'articule ainsi en trois étapes automatisables : premièrement, l'attaquant envoie une requête de réinitialisation de mot de passe pour n'importe quel compte administrateur connu (souvent 'admin' par défaut), ce qui génère une clé de reset en clair dans wp_usermeta. Deuxièmement, il exploite CVE-2026-5073 (injection SQL non authentifiée) pour extraire cette clé en clair depuis wp_usermeta via une requête AJAX forgée. Troisièmement, il utilise la clé extraite avec l'action 'armrp' d'ARMember pour définir un nouveau mot de passe et se connecter en tant qu'administrateur. L'ensemble de la chaîne peut être automatisé et exécuté en quelques secondes.

ARMember Premium est un plugin commercial de membership très répandu, développé par Brainstorm Force et utilisé par des milliers de sites WordPress pour gérer des espaces membres, des contenus premium et des abonnements payants. Selon les données agrégées par Patchstack et BitNinja Security, plusieurs dizaines de milliers d'installations sont potentiellement exposées. La publication simultanée de trois CVEs le 4 juin 2026 indique qu'une analyse approfondie du plugin a été réalisée par un chercheur (ou une équipe) ayant identifié la chaîne d'exploitation dans son ensemble avant toute divulgation publique.

La divulgation a été coordonnée avec l'éditeur Brainstorm Force, qui a publié la version corrective 7.3.2 d'ARMember Premium simultanément à la publication des bulletins de sécurité. Selon les analyses de Managed-WP et BitNinja Security, aucune exploitation active confirmée en production n'avait encore été signalée au moment de la divulgation initiale le 4 juin 2026. Cependant, la facilité d'exploitation (entièrement automatisable, sans authentification pour CVE-2026-5073) et la disponibilité publique des détails techniques rendent une weaponisation imminente hautement probable dans les jours suivant la publication.

Du point de vue technique, CVE-2026-5073 est particulièrement dangereuse car elle ne requiert aucune authentification, contrairement à CVE-2026-5074 qui exige un niveau Subscriber. Dans un scénario où l'enregistrement des utilisateurs est désactivé sur le site cible et où CVE-2026-5073 est la seule injection exploitable, l'attaque reste entièrement possible : l'attaquant déclenche lui-même une demande de reset pour l'administrateur cible via la page publique de reset de mot de passe, génère la clé en clair, puis l'extrait via la SQLi non authentifiée. Aucune interaction utilisateur n'est requise.

Impact et exposition

L'impact potentiel est total : un attaquant non authentifié peut obtenir les droits d'administrateur WordPress sur n'importe quel site utilisant ARMember Premium antérieur à la version 7.3.2. À partir de là, il peut exécuter du code PHP arbitraire via l'éditeur de thèmes ou de plugins, installer des backdoors persistantes (webshells), accéder à l'ensemble des données des membres (informations personnelles, adresses, données de paiement si intégrées via WooCommerce ou Stripe), rediriger le trafic vers des sites malveillants, injecter des malwares drive-by download pour les visiteurs, ou intégrer le serveur web à un botnet.

Les sites les plus exposés sont les plateformes e-learning, les espaces membres premium, les portails d'abonnement, les sites de coaching et les boutiques en ligne utilisant ARMember comme système de gestion des adhésions. Ces sites détiennent souvent des données sensibles (données personnelles, informations bancaires, identifiants de connexion) dont l'exfiltration constituerait une violation du RGPD nécessitant une notification à la CNIL sous 72 heures et une communication aux personnes concernées si le risque est élevé.

La surface d'attaque est accessible depuis Internet sans aucune condition préalable réseau : les endpoints AJAX WordPress (/wp-admin/admin-ajax.php) sont publics par défaut sur tout site WordPress, quel que soit son hébergement. Aucun accès réseau privilégié n'est nécessaire. L'attaque peut être lancée depuis n'importe quelle connexion Internet, y compris via Tor ou un VPN, compliquant l'attribution et la traçabilité forensique.

La condition minimale pour que la chaîne d'exploitation fonctionne est que le mécanisme de réinitialisation de mot de passe d'ARMember soit activé (comportement par défaut). Même si aucun administrateur n'a demandé de reset récemment, l'attaquant peut déclencher cette demande lui-même via la page publique du plugin, générant instantanément la clé vulnérable dans wp_usermeta.

Recommandations immédiates

  • Mettre à jour ARMember Premium vers la version 7.3.2 immédiatement — disponible via Tableau de bord WordPress > Mises à jour, ou via le compte client Brainstorm Force (Security Advisory ARMember 2026-06)
  • Vérifier les logs d'accès WordPress pour des requêtes POST anormales vers /wp-admin/admin-ajax.php avec les paramètres 'arm_directory_paging_action' ou 'get_private_content_data' dans les 30 derniers jours
  • Exécuter la requête SQL suivante pour détecter des clés de reset en clair existantes : SELECT user_id, meta_value FROM wp_usermeta WHERE meta_key = 'arm_reset_password_key' AND meta_value != ''
  • Auditer les comptes administrateurs WordPress : vérifier les dernières connexions (last_login dans wp_usermeta) et détecter tout compte suspect créé ou modifié récemment
  • Installer un pare-feu applicatif (WAF) Wordfence ou Solid Security pour bloquer les tentatives d'exploitation des actions AJAX vulnérables
  • En attendant la mise à jour, désactiver temporairement la fonctionnalité de réinitialisation de mot de passe ARMember si votre configuration le permet, via le panneau de configuration ARMember

⚠️ Urgence

CVE-2026-5076 présente un score CVSS 9.8 (Critical). La chaîne d'exploitation CVE-2026-5073 + CVE-2026-5076 est entièrement non authentifiée, technique et automatisable en quelques secondes. Bien qu'aucune exploitation active confirmée en production n'ait été signalée au 7 juin 2026, la publication des détails techniques complets rend une weaponisation imminente. Si vous utilisez ARMember Premium, la mise à jour vers 7.3.2 est une priorité absolue à exécuter dans les heures qui suivent.

Comment savoir si je suis vulnérable ?

Dans votre tableau de bord WordPress, allez dans Extensions > Extensions installées et cherchez "ARMember" ou "ARMember Premium". Si la version affichée est inférieure ou égale à 7.3.1, votre site est vulnérable. Via WP-CLI, exécutez : wp plugin get armember-membership --field=version. Pour vérifier si des clés de reset en clair vulnérables sont présentes, exécutez en base de données : SELECT COUNT(*) FROM wp_usermeta WHERE meta_key = 'arm_reset_password_key' AND meta_value != ''; Un résultat supérieur à 0 indique une exposition immédiate aux conditions d'exploitation de CVE-2026-5076.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit