WordPress wp2shell : Comment deux failles principales permettent aux attaquants d'exécuter du code sans se connecter
Par Necolas Hamwi
18 juillet 2026 | Blog aratech
La version courte
Une requête HTTP anonyme peut désormais reprendre un site WordPress. Pas de mot de passe, pas de plugin, pas de mauvaise configuration – juste une simple installation WordPress. Deux vulnérabilités nouvellement enchaînées, CVE-2026-63030 et CVE-2026-60137, transforment un site WordPress 6.9 ou 7.0 standard en cible d'exécution de code à distance. Les failles sont fondamentales, l'exploit est public et des correctifs sont déjà déployés via des mises à jour automatiques forcées.
Si vous exécutez WordPress pour un client, un portefeuille ou un outil interne, celui-ci est important.
Qu'est-ce que wp2shell ?
Le chercheur en sécurité Adam Kues (Searchlight Cyber / Assetnote) a découvert et publié une chaîne de deux bogues qui contourne complètement l'authentification. Le nom wp2shell vient du résultat de l'attaque : un attaquant non authentifié envoie une requête contrefaite et obtient un shell : exécution complète du code sur le serveur.
La chaîne fonctionne comme ceci :
- CVE-2026-60137 — Une injection SQL dans le cœur de WordPress permet à un attaquant de manipuler la base de données via une requête non authentifiée.
- CVE-2026-63030 — Une vulnérabilité de confusion de route par lots de l'API REST permet à l'attaquant d'enchaîner cette injection SQL en élévation de privilèges et en exécution de code à distance.
Individuellement, chaque bug est grave. Ensemble, ils sont catastrophiques car l'attaque ne nécessite zéro condition préalable : aucun utilisateur authentifié, aucun accès administrateur, aucun plugin vulnérable.
Qui est concerné ?
Les versions concernées sont spécifiques :
Si votre site exécute une version de 6.9.0 à 6.9.4 ou de 7.0.0 à 7.0.1, il était exploitable jusqu'à ce que WordPress envoie des mises à jour automatiques forcées le vendredi 17 juillet 2026.
La bonne nouvelle : WordPress a activé les mises à jour forcées via son système de mise à jour automatique, donc de nombreux sites sont déjà corrigés. La mauvaise nouvelle : tout site dont les mises à jour automatiques sont désactivées, ou tout site qui a raté le push forcé, reste vulnérable.
Pourquoi cela est différent des autres défauts de WordPress
La plupart des vulnérabilités WordPress résident dans des plugins ou des thèmes. Une faille fondamentale est plus rare et plus dangereuse car :
- Chaque installation est une cible. Aucun audit de plugin ne peut la détecter.
- La surface d'attaque est universelle. L'API REST est activée par défaut.
- L'exploitation est triviale. Une preuve de concept fonctionnelle est déjà publique sur GitHub.
- Les correctifs ne sont pas facultatifs. Attendre votre prochaine fenêtre de maintenance est un risque.
Le mécanisme wp2shell a été publié dans son intégralité le 17 juillet et un PoC fonctionnel a été mis en ligne le même jour. Cela signifie que le code d'exploitation est désormais accessible à tous les attaquants, et non seulement au chercheur initial.
Que devez-vous faire maintenant
-
Vérifiez votre version. Connectez-vous à wp-admin et regardez dans le coin inférieur droit, ou exécutez « wp core version » via WP-CLI. Si vous utilisez 6.9.x inférieur à 6.9.5 ou 7.0.x inférieur à 7.0.2, vous êtes exposé.
-
Mettre à jour immédiatement. WordPress 6.9.5 et 7.0.2 ferment les deux CVE. Si les mises à jour automatiques sont désactivées, mettez à jour manuellement maintenant.
-
Vérifiez que le correctif a été téléchargé. Après la mise à jour, confirmez le numéro de version. Ne présumez pas que la mise à jour forcée a atteint votre hôte.
-
Recherchez les indicateurs de compromission. Étant donné que cette faille autorise un accès non authentifié, vérifiez vos journaux d'accès pour détecter les requêtes API REST inattendues vers
/wp-json/wp/v2/ou/wp-json/wp/v2/usersavant la date du correctif. -
Renforcez votre API REST. Si vous n'utilisez pas l'API REST, envisagez de la restreindre avec une règle de pare-feu ou un plugin de sécurité. Cela ne corrige pas le défaut, mais réduit l'exposition à de futurs bugs similaires.
Vue d'ensemble : les logiciels de base ne sont pas intrinsèquement sûrs
Les organisations traitent souvent WordPress comme « juste un CMS » et supposent que la sécurité est un problème de plugin. wp2shell prouve que cette hypothèse est fausse. Le logiciel le plus fiable sur Internet peut fournir un RCE de pré-authentification dans le noyau, et la seule chose qui vous empêche de compromettre est de savoir si votre mécanisme de mise à jour a fonctionné un vendredi après-midi.
Pour les entreprises, la leçon est la même que pour les systèmes d'exploitation : la cadence des correctifs est un contrôle de sécurité. Si votre équipe ne dispose pas d'une politique de mise à jour principale WordPress documentée et testée, ceci vous rappelle d'en créer une.
À propos du chercheur
Adam Kues a signalé le bug de route par lots via le programme HackerOne de WordPress. L'injection SQL a été rapportée séparément par les chercheurs TF1T, dtro et haongo. Searchlight Cyber, la branche de gestion des surfaces d'attaque où Kues travaille, a publié l'article sous le nom wp2shell et conserve toujours tous ses détails techniques tout en dirigeant les propriétaires de sites vers un vérificateur sur wp2shell.com.
---## TL;DR
- Deux failles principales de WordPress s'enchaînent et entraînent l'exécution de code à distance non authentifié.
- Affecte les versions 6.9.0 à 6.9.4 et 7.0.0 à 7.0.1.
- Le PoC public est en ligne. Mises à jour automatiques forcées expédiées le 17 juillet.
- Si vous gérez des sites WordPress, mettez à jour vers la version 6.9.5 ou 7.0.2 aujourd'hui.
Necolas Hamwi est CTO et fondateur d'aratech. Il écrit sur la cybersécurité, l'IA et les choix d'infrastructure qui façonnent l'entreprise numérique moderne.