WordPress CVE-2026-4882 : RCE sans auth via plugin User Registration

Les faits

La National Vulnerability Database a publié le 2 mai 2026 deux vulnérabilités critiques de score CVSS 9.8 visant des plugins WordPress largement déployés. La plus exploitable porte le numéro CVE-2026-4882 et affecte User Registration Advanced Fields, une extension qui ajoute des champs personnalisés aux formulaires d'inscription du plugin parent User Registration. Le bug réside dans la fonction URAF_AJAX::method_upload, responsable du traitement des uploads de photos de profil côté frontend.

L'analyse technique publiée par WP-Firewall et Managed-WP révèle que la fonction ne procède à aucune validation du type de fichier soumis par l'utilisateur. La routine accepte n'importe quelle extension, n'importe quel mime-type, et écrit le fichier dans un répertoire accessible depuis le web. Un attaquant non authentifié peut donc déposer un script PHP — typiquement un webshell minimal — puis l'exécuter en faisant une simple requête GET vers son URL. La séquence complète d'attaque tient en deux requêtes HTTP et ne nécessite ni compte, ni session, ni interaction utilisateur.

La condition d'exploitation est qu'un champ de type Profile Picture soit configuré sur au moins un formulaire d'inscription accessible publiquement. Cette condition n'est pas anecdotique : la documentation du plugin et les tutoriels usuels recommandent justement d'ajouter un champ photo de profil pour personnaliser l'expérience d'inscription. La proportion de sites vulnérables parmi les installations totales est donc estimée par Patchstack à plus de 80 %.

User Registration Advanced Fields revendique plus de 60 000 installations actives selon le repository WordPress.org. Le périmètre réel inclut des sites associatifs, des plateformes éducatives, des intranets PME et des espaces membres de média en ligne. L'éditeur WPEverest a publié la version corrective 1.6.21 le 5 mai 2026, soit trois jours après la publication CVE. Le correctif introduit une validation stricte du type MIME et restreint les extensions acceptées à une whitelist d'images standard.

La seconde vulnérabilité critique publiée le même jour, CVE-2026-7458, affecte User Verification by PickPlugins. Elle exploite une comparaison faible == au lieu de === lors de la validation du code OTP de vérification. Un attaquant soumettant la valeur littérale true au lieu d'un code chiffré contourne le contrôle et obtient l'authentification en tant qu'utilisateur arbitraire, y compris administrateur. Le patch est publié en version 2.0.47.

La typologie des attaques observées par les principaux fournisseurs WAF spécialisés WordPress (Wordfence, WP-Firewall, Patchstack) montre une explosion des tentatives d'upload sur les endpoints AJAX de User Registration Advanced Fields dès le 6 mai. Plusieurs PoC publics circulent, et l'automatisation via des scanners de masse comme nuclei est documentée. Les sites n'ayant pas mis à jour avant le 10 mai doivent être considérés comme potentiellement compromis.

Le contexte économique du marché des plugins WordPress aggrave la situation. Beaucoup de PME et d'associations ne disposent pas d'une politique de mise à jour automatique, et leur prestataire web facture des heures pour appliquer un correctif. La friction administrative entre la publication d'un patch et son déploiement effectif peut atteindre plusieurs semaines, fenêtre largement suffisante pour que les attaquants automatisent l'exploitation à grande échelle.

Le scénario post-compromission typique observé sur ce type de webshell consiste en : exfiltration de la base WordPress (table wp_users incluant les hashs bcrypt des mots de passe), injection de code malveillant dans les pages de paiement ou de connexion, recrutement de la machine dans un réseau de proxy résidentiel, ou encore minage de cryptomonnaie. Le coût de remédiation pour un site compromis dépasse généralement 2 000 euros HT en prestations forensique et reconstruction.

Impact et exposition

Tout site WordPress utilisant User Registration Advanced Fields version 1.6.20 ou antérieure avec un formulaire d'inscription incluant un champ photo de profil et accessible publiquement. Le rayon d'impact couvre la compromission complète du site, l'exfiltration des données utilisateurs et le risque de propagation latérale si le compte d'hébergement mutualise plusieurs sites.

Recommandations

• Mettre à jour immédiatement User Registration Advanced Fields vers la version 1.6.21 ou supérieure.
• Mettre à jour User Verification by PickPlugins vers la version 2.0.47 pour adresser CVE-2026-7458.
• À défaut de mise à jour immédiate, désactiver le plugin ou supprimer le champ Profile Picture des formulaires publics.
• Inspecter le répertoire d'upload des photos de profil à la recherche de fichiers PHP, JSP, ASP ou avec doubles extensions suspectes.
• Auditer la base de données pour détecter tout compte administrateur ajouté récemment sans traçabilité.
• Configurer une règle WAF bloquant les uploads non-images sur les endpoints AJAX du plugin.