WordPress alimente ~43% du web — c'est aussi la cible la plus exploitée par les attaquants opportunistes via les plugins tiers. En mai 2026, 4 plugins populaires ont publié des CVE critiques (CVSS 9.8), tous permettant un takeover de compte administrateur sans authentification :
- CVE-2026-8181 — Burst Statistics (analytics privacy-friendly) — auth bypass
- CVE-2026-6271 — Career Section — upload de fichier arbitraire → RCE
- CVE-2026-6510 — InfusedWoo Pro (automation) — privilege escalation
- CVE-2026-5229 — Form Notify — auth bypass via cookie injection
Si vous opérez des sites WordPress (ou si vous offrez de l'hébergement WordPress managé), audit immédiat de vos installs.
CVE-2026-8181 — Burst Statistics auth bypass via application passwords
Le plugin
Burst Statistics est un plugin d'analytics privacy-friendly, alternative à Google Analytics ne stockant aucune donnée personnelle. Très populaire dans les sites RGPD-compliant en Europe (~50 000 installs actives selon le repo WordPress).
Le bug
La fonction is_mainwp_authenticated() valide les application passwords depuis l'en-tête Authorization, mais mal interprète la valeur de retour. Conséquence : un attaquant connaissant un nom d'utilisateur administrateur (souvent visible via l'API REST WordPress /wp-json/wp/v2/users) peut envoyer une requête avec un mot de passe aléatoire en Basic Auth et être authentifié comme cet admin pour la durée de la requête.
# Exemple d'exploitation
curl -u "admin:RandomString123" \
https://target-wordpress.com/wp-json/burst/v1/data
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Versions affectées | 3.4.0 → 3.4.1.1 |
| Version corrigée | À vérifier sur le repo WordPress |
| CWE | CWE-697 (Incorrect Comparison) + CWE-287 (Improper Authentication) |
CVE-2026-6271 — Career Section arbitrary file upload
Le plugin
Career Section est un plugin de gestion de carrières/recrutement permettant aux candidats d'uploader leur CV via un formulaire. Utilisé sur des sites entreprise pour la page "Carrières".
Le bug
Le handler d'upload de CV ne valide pas le type de fichier. Un attaquant peut uploader n'importe quel fichier, y compris un PHP shell (shell.php). Une fois uploadé dans le répertoire wp-content/uploads/career-section/, le fichier est accessible publiquement et exécuté par le serveur PHP.
# Exemple d'exploitation
curl -X POST "https://target.com/wp-content/plugins/career-section/cv-upload.php" \
-F "cv=@shell.php" \
-F "candidate_name=test"
# Puis l'attaquant accède au shell
curl "https://target.com/wp-content/uploads/career-section/shell.php?cmd=id"
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Versions affectées | ≤ 1.7 |
| Version corrigée | À vérifier |
| CWE | CWE-434 (Unrestricted Upload of File with Dangerous Type) |
CVE-2026-6510 — InfusedWoo Pro privilege escalation via AJAX
Le plugin
InfusedWoo Pro est un plugin d'automation pour WooCommerce (workflows de retargeting, séquences d'emails post-achat). Plugin payant, plusieurs milliers de licences actives.
Le bug
Le handler AJAX iwar_save_recipe() n'effectue pas de vérification de nonce ni de capabilities. Un attaquant non authentifié peut :
- Créer une "recipe" d'automation malveillante via l'endpoint AJAX
- Configurer un trigger HTTP POST couplé à une action auto-login
- Visiter l'URL crafted → recevoir un cookie d'authentification valide pour n'importe quel compte (y compris admin)
C'est l'archétype de la vulnérabilité "AJAX nopriv non protégée" qui revient régulièrement dans l'écosystème WordPress.
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Versions affectées | ≤ 5.1.2 |
| Version corrigée | À vérifier |
| CWE | CWE-862 (Missing Authorization) + CWE-269 (Improper Privilege Management) |
CVE-2026-5229 — Form Notify auth bypass via cookie injection
Le plugin
Form Notify est un plugin qui envoie des notifications LINE (la messagerie japonaise) lors de la soumission d'un formulaire WordPress. Utilisé par les sites japonais et coréens.
Le bug
Quand LINE ne fournit pas d'adresse email (cas courant, car LINE ne demande pas l'email à l'auth OAuth), le plugin fait confiance à un cookie form_notify_line_email pour déterminer le compte WordPress à connecter. Un attaquant peut :
- S'authentifier via LINE OAuth avec son propre compte LINE
- Injecter le cookie
form_notify_line_email=admin@victim.com - Le plugin connecte l'attaquant comme
admin@victim.comsans vérifier l'appartenance de l'email au compte LINE
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Versions affectées | ≤ 1.1.10 |
| Version corrigée | À vérifier |
| CWE | CWE-287 (Improper Authentication) + CWE-602 (Client-Side Enforcement of Server-Side Security) |
Récap et action
| CVE | Plugin | Type | Action |
|---|---|---|---|
| CVE-2026-8181 | Burst Statistics | Auth bypass | Update ASAP |
| CVE-2026-6271 | Career Section | Arbitrary file upload | Update ASAP |
| CVE-2026-6510 | InfusedWoo Pro | Privilege escalation | Update ASAP |
| CVE-2026-5229 | Form Notify | Auth bypass | Update ASAP |
Procédure de patch immédiat
Dans WordPress Admin → Plugins :
- Filtre "Mises à jour disponibles"
- Cherche les 4 plugins listés
- Update tous en un clic via "Sélectionner tout → Mettre à jour"
Ou via WP-CLI sur le serveur :
wp plugin update --all
Vérification anti-compromission
Après update, vérifie qu'aucun compte admin malveillant n'a été créé pendant la fenêtre d'exposition :
# Liste tous les administrateurs
wp user list --role=administrator --fields=ID,user_login,user_email,user_registered
# Liste les fichiers PHP uploadés via Career Section
ls -la wp-content/uploads/career-section/ | grep "\.php$"
Cherche aussi dans la base de données les recipes InfusedWoo récentes :
SELECT * FROM wp_iwar_recipes WHERE created_at > NOW() - INTERVAL 30 DAY;
Si tu trouves des artefacts suspects
- Supprime les fichiers PHP non légitimes dans
uploads/ - Désactive les comptes admin créés récemment (ne supprime pas — preuve forensique)
- Change les passwords de tous les comptes admin
- Scan le filesystem pour des webshells avec un outil comme WPScan ou Maldet
- Audite les options WP :
wp option getpoursiteurl,home,admin_email
Pourquoi surveiller en continu vos installations WordPress
WordPress fait tourner ~43% du web. 80% des compromissions WP passent par un plugin tiers vulnérable et non patché. La cadence de découverte de CVE plugin est plusieurs par semaine — impossible à suivre manuellement.
Avec cveo.tech, inventorie tes installations WordPress + leurs plugins tiers déployés et reçois un email automatique dès qu'une CVE critique cible une de tes versions exactes — pour patcher dans la fenêtre où les bots de scan automatisé n'ont pas encore atteint ton site.