Exploitation active d'une RCE critique dans le plugin WordPress Kali Forms (10 000+ sites)

🗓️ Contexte

Source : The Cyber Express, publié le 14 avril 2026. L’article couvre la divulgation et l’exploitation active d’une vulnérabilité critique de type Remote Code Execution (RCE) affectant le plugin WordPress Kali Forms (constructeur de formulaires drag-and-drop), installé sur plus de 10 000 sites actifs.

🔍 Nature de la vulnérabilité

La faille réside dans le flux form_process et la fonction prepare_post_data(), qui accepte des données contrôlées par l’attaquant sans validation ni liste blanche. Ces données sont injectées dans des placeholders internes ({entryCounter}, {thisPermalink}), puis transmises à la méthode _save_data() où elles sont exécutées via call_user_func().

Un attaquant non authentifié peut ainsi injecter un nom de fonction PHP arbitraire, par exemple :

• Assigner {entryCounter} = wp_set_auth_cookie → exécution de wp_set_auth_cookie(1) → prise de contrôle du compte administrateur

Toutes les versions jusqu’à 2.4.9 incluse sont vulnérables. La version 2.4.10 corrige le problème.

📅 Chronologie

• 2 mars 2026 : Soumission initiale via bug bounty
• 5 mars 2026 : Protection firewall déployée pour les utilisateurs Wordfence Premium/Care/Response
• 20 mars 2026 : Publication du patch, divulgation publique, début de l’exploitation active
• 4 avril 2026 : Protection firewall étendue aux utilisateurs Wordfence gratuits
• 4–10 avril 2026 : Pic d’activité d’exploitation

💥 Exploitation observée

Les attaquants ciblent le endpoint admin-ajax.php via des requêtes POST automatisées :

Plus de 312 200 tentatives d’exploitation bloquées ont été enregistrées, avec un pic entre le 4 et le 10 avril 2026.

🌐 Adresses IP attaquantes principales

• 209.146.60.26 : +152 000 requêtes bloquées
• 49.156.40.126 : +50 000
• 124.248.183.139 : +26 000
• 202.56.2.126 : +14 000
• 130.12.182.154 : +11 000
• 104.28.160.197 : +9 000
• 1.53.114.181 : +5 700
• 157.15.40.74 : +3 000
• 114.10.99.126 : +2 500
• 83.147.12.83 : +1 300

📌 Type d’article

Article de type analyse technique / alerte de sécurité, visant à documenter la vulnérabilité, sa chaîne d’exploitation et les indicateurs d’attaque observés en production.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
• T1078 — Valid Accounts (Defense Evasion)
• T1059 — Command and Scripting Interpreter (Execution)

IOC

• IPv4 : 209.146.60.26 — AbuseIPDB · VT · ThreatFox
• IPv4 : 49.156.40.126 — AbuseIPDB · VT · ThreatFox
• IPv4 : 124.248.183.139 — AbuseIPDB · VT · ThreatFox
• IPv4 : 202.56.2.126 — AbuseIPDB · VT · ThreatFox
• IPv4 : 130.12.182.154 — AbuseIPDB · VT · ThreatFox
• IPv4 : 104.28.160.197 — AbuseIPDB · VT · ThreatFox
• IPv4 : 1.53.114.181 — AbuseIPDB · VT · ThreatFox
• IPv4 : 157.15.40.74 — AbuseIPDB · VT · ThreatFox
• IPv4 : 114.10.99.126 — AbuseIPDB · VT · ThreatFox
• IPv4 : 83.147.12.83 — AbuseIPDB · VT · ThreatFox

🟡 Indice de vérification factuelle : 48/100 (moyenne)

• ⬜ thecyberexpress.com — source non référencée (0pts)
• ✅ 4987 chars — texte complet (15pts)
• ✅ 10 IOCs (IPs/domaines/CVEs) (10pts)
• ✅ 1/3 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 124.248.183.139 (ip) → AbuseIPDB (88% confiance, 58 signalements)

🔗 Source originale : https://thecyberexpress.com/kali-forms-vulnerability-wordpress-plugin/amp/

🖴 Archive : https://web.archive.org/web/20260416070743/https://thecyberexpress.com/kali-forms-vulnerability-wordpress-plugin/