Il est possible d’exécuter du code à distance sur un site WordPress vulnérable, sans le moindre identifiant, en enchaînant deux failles du cœur du CMS, wp2shell. Des preuves de concept sont déjà en circulation et les premières attaques réelles ont commencé. WordPress a imposé une mise à jour automatique d’urgence.

Adam Kues est chercheur chez Searchlight Cyber. Il vient de repérer une confusion de routage dans l’API REST des requêtes groupées, référencée CVE-2026-63030 et apparue avec la version 6.9. Couplée à une injection SQL logée dans le paramètre author__not_in de la fonction WP_Query, référencée CVE-2026-60137, il a découvert qu’il était possible d’exécuter des commandes sur un site WordPress fraîchement installé, sans identifiant ni extension tierce. Cette chaîne touche les versions 6.9.0 à 6.9.4 et 7.0.0 à 7.0.1, soit une bonne part d’un parc mondial estimé à plus de 500 millions de sites.
Des preuves de concept en circulation malgré les précautions
Searchlight Cyber a choisi de ne pas publier les détails techniques de la chaîne, le temps de laisser les administrateurs corriger leurs sites. L’entreprise a mis en ligne l’outil wp2shell.com, qui vérifie en quelques secondes si une installation reste exposée. Plusieurs preuves de concept sont déjà en circulation sur GitHub. WordPress recommande vivement une mise à jour immédiate des sites concernés. Certaines de ces preuves extraient d’abord les empreintes de mots de passe via l’injection SQL, puis cassent le mot de passe administrateur pour importer une extension malveillante et exécuter des commandes. D’autres obtiennent une exécution de code directe, sans le moindre mot de passe, une version plus proche de la description initiale donnée par Searchlight Cyber.
Benjamin Harris, P.-D. G de watchTowr, a confirmé les premiers signes d’exploitation réelle. Selon lui, les vulnérabilités critiques et non authentifiées touchent rarement le cœur de WordPress. Les administrateurs se lancent donc dans une course contre la montre avant qu’une exploitation massive ne s’installe.

La mise à jour automatique forcée, une mesure rare chez WordPress
WordPress a préféré prendre les devants et activé les mises à jour automatiques forcées pour toutes les installations concernées, une procédure qu’elle réserve aux corrections les plus urgentes, en raison de la gravité du dossier. Les sites qui utilisent encore une version vulnérable reçoivent la 7.0.2 ou la 6.9.5 sans intervention de leurs administrateurs, sauf si la fonction a été désactivée manuellement. Dans son annonce officielle, l’équipe de WordPress attribue la découverte de la confusion de routage et de l’injection SQL menant à l’exécution de code à Adam Kues. Elle crédite par ailleurs trois chercheurs, identifiés sous les pseudonymes TF1T, dtro et haongo, pour le signalement collectif d’une faille SQL isolée.
Si vous êtes administrateur et ne pouvez pas mettre à jour dans l’immédiat, vous pouvez utiliser ces deux parades. Installez une extension qui bloque tout accès anonyme à l’API REST, ou bloquez au niveau du pare-feu applicatif les routes /wp-json/batch/v1 et ?rest_route=/batch/v1. Searchlight Cyber précise toutefois que ces mesures sont provisoires et ne remplacent pas la mise à jour du logiciel.
Cloudflare a également déployé des règles de pare-feu applicatif contre les deux failles, disponibles même pour les comptes gratuits protégés par sa plateforme. Ces règles bloquent les tentatives d’exploitation de l'injection SQL et de la confusion de routage. Grâce à ce filtrage, le site est moins exposé, mais encore une fois, le site recommande le correctif.
La faille SQL isolée, signalée par l'équipe TF1T, dtro et haongo, touche aussi les versions 6.8.0 à 6.8.5, antérieures à l’apparition de la confusion de routage en 6.9. WordPress a corrigé ce trou avec la sortie de la version 6.8.6, ainsi que dans la bêta de la prochaine version majeure, la 7.1, avec la publication de sa deuxième bêta.