Les pirates lancent environ 3 600 tentatives d'intrusion chaque jour contre les sites WordPress équipés de l'extension File Upload de Ninja Forms. Les attaquants profitent d'une vulnérabilité dans le traitement des requêtes pour exécuter des scripts PHP malveillants sans aucune authentification préalable.
Wordfence alerte les propriétaires de sites Wordpress après la détection de nombreuses attaques contre le module File Upload. Le chercheur Sélim Lanouar a identifié une erreur de conception : les développeurs ont omis de filtrer les extensions de fichiers et les répertoires de destination. Les pirates menacent environ 90 000 installations à cause de cette faille de sécurité.
Les assaillants exploitent la référence CVE-2026-0740 pour injecter des web shells et dérober des données confidentielles sur les serveurs.
Si l'éditeur propose un correctif depuis le 19 mars, les hackers bénéficient du retard de mise à jour chez de nombreux administrateurs. Les experts observent une automatisation des scans pour compromettre un maximum de cibles avant la sécurisation globale du parc informatique.
Le dépôt de scripts PHP par la manipulation des chemins système
Les assaillants modifient manuellement les paramètres de téléchargement pour forcer l'écriture des fichiers dans des dossiers sensibles du serveur. Ils emploient des séquences de caractères spéciales et ils parviennent ainsi à remonter dans l'arborescence jusqu'au répertoire racine.
Ils font accepter des programmes malveillants au système Ninja Forms car le code manque de vérifications sur la signature réelle des documents. L'attaquant exécute ensuite son code à distance via une simple requête HTTP sur le fichier déposé.
Enfin, ils accèdent au fichier wp-config.php ou modifient les privilèges des comptes grâce à cette méthode. Les hackers multiplient les requêtes malveillantes pour exploiter la faille avant que les gestionnaires de sites n'appliquent les derniers patchs de sécurité.
Les chercheurs de Wordfence recommandent une surveillance accrue des logs d'accès pour repérer toute activité suspecte dans les répertoires de médias.
- moodVersion d'essai disponible
- settingsHébergé / pré-installé
- storage1 Go à 200 Go de stockage
- extensionPlugins disponibles
- format_paintThemes disponibles
- shopping_bagAdapté aux sites e-commerce
L'illusion de sécurité des modules payants face au manque d'audit public
Les entreprises achètent des extensions premium avec l'espoir d'une fiabilité supérieure aux outils gratuits. Pourtant, avec ce modèle propriétaire, ils font l'impasse sur l'examen du code par les experts en sécurité indépendants.
Contrairement au noyau de WordPress, les add-ons payants ne profitent pas d'une surveillance communautaire constante. Notre confrère Bleeping Computer rapporte que les pirates analysent les correctifs officiels pour identifier les faiblesses des versions obsolètes.
Les administrateurs doivent installer la version 3.3.27 pour neutraliser ce risque immédiat. Les responsables techniques réduisent la surface d'attaque de leur infrastructure quand ils limitent le nombre de modules tiers. Les gestionnaires de sites professionnels font face à des réseaux cybercriminels très réactifs et ils subissent désormais une hausse des requêtes frauduleuses sur leurs formulaires de contact.
Même si les hébergeurs web bloquent des milliers de connexions suspectes chaque heure sur les ports applicatifs, les pirates cherchent de nouvelles cibles vulnérables.
Source : Bleeping Computer
