La chaîne de failles wp2shell (CVE-2026-63030 + CVE-2026-60137) permet l'exécution de code sans authentification sur tout WordPress 6.9.x. Correctifs publiés en urgence le 17 juillet 2026.
En bref
- Une chaîne de vulnérabilités critique baptisée wp2shell permet à n'importe quel internaute non authentifié d'exécuter du code arbitraire sur tout site WordPress en version 6.9 ou supérieure.
- Les correctifs 6.9.5 et 7.0.2 ont été publiés en urgence le 17 juillet 2026, avec déclenchement des mises à jour automatiques forcées sur les installations affectées.
- Les administrateurs doivent vérifier immédiatement leur version et appliquer le patch, ou bloquer en urgence l'accès anonyme à l'endpoint /wp-json/batch/v1 via leur WAF.
Une chaîne d'exploitation redoutable sans la moindre authentification requise
Le 17 juillet 2026, l'équipe de sécurité de WordPress.org a publié en urgence deux versions correctives — 6.9.5 et 7.0.2 — pour colmater ce qui constitue l'une des vulnérabilités les plus graves de l'histoire de la plateforme. La faille, baptisée wp2shell par les chercheurs qui l'ont découverte, exploite une chaîne de deux vulnérabilités dans le cœur même de WordPress pour permettre l'exécution de code arbitraire à distance (RCE) sans aucune authentification préalable, sans plugin tiers, et sans configuration spécifique. Une installation WordPress par défaut est exposée dès lors qu'elle tourne en version 6.9 ou supérieure.
La première faille est répertoriée sous l'identifiant CVE-2026-60137. Il s'agit d'une injection SQL (CVSS : 9.1, Critique) localisée dans le paramètre author__not_in de la classe WP_Query. Cette classe est au cœur du moteur de requête WordPress : elle est instanciée pour construire la quasi-totalité des requêtes bases de données émises par la plateforme, depuis l'affichage des articles jusqu'aux appels REST. L'injection est possible car la validation des paramètres transmis via certaines routes de l'API REST est insuffisante — le code ne procède pas à un cast de type entier avant d'intégrer les valeurs dans la requête SQL générée par la couche wpdb.
La seconde composante, CVE-2026-63030 (CVSS : 7.5, Élevé), réside dans l'endpoint de traitement par lots de l'API REST WordPress : /wp-json/batch/v1. Cet endpoint, introduit avec WordPress 5.6, permet d'envoyer plusieurs requêtes REST en un seul appel HTTP. La vulnérabilité de confusion de route exploitée ici permet à un attaquant de contourner les contrôles d'autorisation appliqués normalement à chaque route individuelle, en encapsulant des requêtes malformées dans le format batch. Combinée à l'injection SQL de CVE-2026-60137, elle forme une chaîne d'exploitation complète menant jusqu'à l'exécution de code côté serveur.
Concrètement, selon les analyses publiées par Hadrian, Searchlight Cyber et Beazley Security, l'attaquant envoie une requête HTTP batch malformée contenant un payload SQL soigneusement construit. L'injection dans WP_Query aboutit à l'écriture d'un fichier PHP arbitraire sur le disque via des fonctions MySQL non filtrées — un vecteur classique connu sous le nom de SQL-to-file-write — qui permet d'obtenir un shell sur le serveur. La chaîne complète ne nécessite qu'une seule requête HTTP et s'exécute en moins d'une seconde. Le code défectueux n'est présent que depuis la version 6.9, publiée le 2 décembre 2025, ce qui limite la fenêtre d'exposition à sept mois, mais l'étendue du parc concerné reste considérable.
WordPress alimente plus de 43 % des sites web mondiaux. Parmi eux, une fraction significative fonctionnait encore en version 6.9.x au moment de la divulgation, notamment les sites hébergés sur des infrastructures gérées dont les mises à jour automatiques avaient été désactivées, ou ceux utilisant des plugins incompatibles avec la branche 7.x. Face à la gravité du danger, WordPress.org a pris la décision exceptionnelle d'activer les mises à jour automatiques forcées pour les installations en versions 6.9 et 7.0, y compris pour les sites ayant explicitement désactivé cette fonctionnalité. Cette mesure, rarissime dans l'histoire du projet, illustre le degré de criticité de la situation.
Les équipes de Cloudflare ont déployé en urgence des règles WAF sur leur réseau mondial pour bloquer les tentatives d'exploitation de ces deux CVE, offrant une protection transitoire aux millions de sites passant par leur infrastructure. Des règles similaires ont été déployées par Sucuri, Wordfence et Patchstack. Les experts soulignent cependant que ces mesures de mitigation en périphérie ne remplacent pas le patch officiel : les WAF peuvent être contournés par des attaquants qui encodent leurs payloads différemment, et certains hébergeurs mutualisés ne disposent pas des capacités de filtrage nécessaires.
La divulgation publique d'un code d'exploitation (PoC) par Security Online Info, quelques heures à peine après la publication des patches, a considérablement accéléré la course entre administrateurs et acteurs malveillants. Des robots automatisés scrutent en permanence Internet à la recherche de versions vulnérables, et la maturité des outils disponibles rend l'attaque accessible à des profils très variés — depuis les attaquants opportunistes jusqu'aux groupes APT structurés. Le risque de vague d'exploitation massive dans les 48 à 72 heures suivant la divulgation est jugé très élevé par la communauté de la sécurité offensive.
Pour vérifier la version WordPress installée, les administrateurs peuvent se connecter au tableau de bord (Tableau de bord > À propos) ou consulter le fichier wp-includes/version.php. La mise à jour peut être déclenchée manuellement via Tableau de bord > Mises à jour. Sur les environnements managés (WP Engine, Kinsta, Pantheon), les fournisseurs ont indiqué avoir poussé le patch de façon proactive. Sur les VPS ou serveurs dédiés, une vérification manuelle reste indispensable : aucune fenêtre de maintenance ne justifie de retarder l'application de ce correctif.
Pourquoi cette faille interroge la sécurité du CMS le plus déployé au monde
L'apparition d'une RCE pré-authentifiée dans le cœur de WordPress rappelle que les CMS open-source, malgré leurs processus de revue communautaires, restent exposés à des défaillances majeures. La vulnérabilité wp2shell est d'autant plus préoccupante qu'elle n'affecte aucun plugin — catégorie habituellement pointée du doigt dans les incidents WordPress — mais le noyau lui-même, maintenu par une équipe chevronnée et audité régulièrement. Cela met en lumière les limites des revues de code dans le contexte de projets à très fort volume de modifications continues.
Du point de vue sectoriel, cette vulnérabilité touche un périmètre extraordinairement large : collectivités locales, cabinets médicaux, PME, médias, sites d'e-commerce, portails gouvernementaux — autant d'organisations faisant confiance à WordPress pour héberger des données parfois sensibles. Une exploitation réussie peut déboucher sur la compromission totale du serveur web, l'installation de web shells persistants, le vol de bases de données contenant des données personnelles ou de paiement, voire le pivotement vers d'autres systèmes internes si le serveur manque de cloisonnement réseau.
Cette situation met en évidence les tensions dans l'écosystème WordPress autour des mises à jour automatiques. Depuis plusieurs versions, certains hébergeurs et développeurs désactivent les auto-updates pour éviter des incompatibilités avec des plugins personnalisés — une pratique compréhensible d'un point de vue opérationnel, mais dangereuse en termes de sécurité. La décision de WordPress.org d'imposer une mise à jour forcée, même sur les sites ayant désactivé cette option, constitue un précédent notable qui alimentera des débats sur la gouvernance de la plateforme et la responsabilité partagée entre le projet et ses utilisateurs.
La rapidité avec laquelle un PoC public est devenu disponible — moins de 12 heures après la divulgation coordonnée — illustre la dynamique particulièrement dangereuse des vulnérabilités affectant des plateformes hyperrépandues. Contrairement aux failles ciblant des composants d'infrastructure moins connus, une RCE WordPress core génère une réaction immédiate de la communauté offensive, ce qui réduit considérablement le délai entre publication du patch et exploitation active dans la nature. Pour les organisations exposées, chaque heure supplémentaire sans mise à jour représente un risque croissant.
Ce qu'il faut retenir
- Mettre à jour immédiatement vers WordPress 6.9.5 ou 7.0.2 : un PoC public est disponible et l'exploitation active est imminente.
- La chaîne wp2shell (CVE-2026-60137 + CVE-2026-63030) exploite l'API REST batch et WP_Query sans authentification ni plugin — toute installation 6.9.x est concernée.
- En attente du patch, bloquer l'accès anonyme à /wp-json/batch/v1 au niveau WAF constitue une mesure d'urgence transitoire, non une solution définitive.
Mon site est hébergé chez un prestataire, suis-je protégé automatiquement ?
Les principaux hébergeurs WordPress managés (WP Engine, Kinsta, Pantheon, SiteGround) ont indiqué avoir déployé le patch de façon proactive. En revanche, si votre site est sur un hébergement mutualisé classique ou un VPS, vous devez vérifier et appliquer manuellement la mise à jour depuis votre tableau de bord WordPress. WordPress.org a activé les mises à jour automatiques forcées, mais ce mécanisme peut prendre plusieurs heures pour atteindre tous les sites concernés.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactSources et références
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
NIS2 Allemagne : délai KRITIS dépassé, la majorité des opérateurs hors-délai
Le 17 juillet 2026 marquait la date limite d'enregistrement des opérateurs d'infrastructures critiques allemands auprès du BSI et du BBK dans le cadre du KRITIS-Dachgesetz. Seul un tiers des 2 000 opérateurs concernés s'est mis en conformité, risquant des amendes jusqu'à 10 millions d'euros.
OpenAI lance GPT-5.6 Sol, Terra et Luna avec ChatGPT Work
OpenAI a déployé le 9 juillet 2026 sa famille de modèles GPT-5.6 en trois tiers — Sol, Terra et Luna — accompagnée de ChatGPT Work, un agent autonome conçu pour orchestrer des tâches d'entreprise complexes via des workflows multi-agents sur Slack, Notion, Microsoft 365 et Google Drive.
Aflac Japon : brèche de données pour 4,38 millions d'assurés
Aflac Life Insurance Japan a révélé une intrusion dans son portail assuré entre le 15 et le 25 juin 2026, compromettant les données de 4,38 millions de clients, dont les coordonnées bancaires de 230 000 assurés. La FSA japonaise a ordonné un rapport d'amélioration obligatoire.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire