📰 Contexte

Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026.

🔴 Vulnérabilités critiques

Trois vulnérabilités sont classées Critical :

  • Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6
  • Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3
  • Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1

🟠 Vulnérabilités High sans authentification (sélection)

  • LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations
  • WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284
  • Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192
  • ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718
  • Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031
  • Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073
  • Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838
  • Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797
  • Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668
  • PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049
  • Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798
  • Slider RevolutionArbitrary File Upload — CVE-2026-6692
  • Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261
  • Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible

🟡 Plugins sans patch disponible au moment de la publication

  • Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059
  • Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045
  • Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046
  • The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054
  • Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177

📊 Périmètre global

L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection.

🎯 Nature de l’article

Il s’agit d’un patch roundup mensuel publié par Sucuri, destiné aux administrateurs de sites WordPress. Son but principal est de recenser les vulnérabilités divulguées et les correctifs disponibles pour l’écosystème WordPress au cours du mois de mai 2026.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1083 — File and Directory Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1505.003 — Server Software Component: Web Shell (Persistence)

IOC

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ blog.sucuri.net — source non référencée (0pts)
  • ✅ 52523 chars — texte complet (15pts)
  • ✅ 123 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.sucuri.net/2026/05/vulnerability-patch-roundup-may-2026.html