Des dizaines de milliers de sites WordPress sont exposés à une vulnérabilité majeure. Une faille découverte dans une extension largement déployée permet à un simple visiteur d’obtenir les droits d’administrateur en quelques clics.
Un problème de sécurité touche actuellement l’écosystème WordPress via une extension largement déployée. Baptisée CVE-2026-1492, la faille concerne le plugin User Registration & Membership, utilisé par plus de 60 000 sites. Elle permet à un utilisateur malveillant de créer un compte doté de privilèges élevés et d’obtenir un contrôle total sur un site web. Les chercheurs en cybersécurité ont déjà observé des tentatives d’exploitation. Les administrateurs concernés sont donc invités à appliquer rapidement les mises à jour disponibles.
Une faille dans un plugin WordPress permet d’obtenir les droits administrateur
Un attaquant peut obtenir des privilèges administrateur en détournant le processus de création de compte. La vulnérabilité repose sur la possibilité de modifier la requête envoyée lors de l'inscription. En manipulant ces paramètres, il devient possible d’attribuer directement au nouvel utilisateur un rôle WordPress élevé, normalement réservé aux administrateurs du site.
Le plugin User Registration & Membership est pourtant conçu pour simplifier la gestion des comptes utilisateurs sur un site WordPress. Il est notamment utilisé pour créer des formulaires d’inscription personnalisés et administrer les connexions des membres. L’extension permet également d’intégrer des solutions de paiement comme PayPal ou Stripe, afin de gérer des adhésions ou des contenus accessibles uniquement aux utilisateurs payants.
Des tentatives d’exploitation déjà observées et un correctif publié
Les chercheurs en sécurité de Wordfence indiquent avoir observé une campagne visant cette vulnérabilité. En l’espace de 48 heures, leurs systèmes de protection ont bloqué près de 300 tentatives d’exploitation. L’obtention d’un accès administrateur ouvre la porte à une prise de contrôle complète du site. Un attaquant peut alors modifier le contenu publié, installer des extensions malveillantes, introduire des portes dérobées, extraire la base de données des utilisateurs ou encore supprimer les administrateurs légitimes.
La faille concerne toutes les versions du plugin jusqu’à la 5.1.2 incluse. Un correctif a été déployé dans la version 5.1.3, tandis que la 5.1.4 correspond à la version la plus récente disponible. La déclinaison payante Pro ne semble pas affectée, aucune mention de la vulnérabilité n’apparaissant dans les journaux de modifications.
Dans le même temps, une autre extension WordPress a également fait l’objet d’un correctif. La vulnérabilité CVE-2026-2628 touche le plugin All-in-One Microsoft 365 & Entra ID / Azure AD SSO Login, utilisé sur plus de 600 sites. Selon Wordfence, elle « permet à des attaquants non authentifiés de contourner l’authentification et de se connecter en tant qu’autres utilisateurs, y compris les administrateurs ».
Source : Wordfence
