Exploitation active d'une RCE critique dans le plugin WordPress Kali Forms (10 000+ sites)
🗓️ Contexte Source : The Cyber Express, publié le 14 avril 2026. L’article couvre la divulgation et l’exploitation active d’une vulnérabilité critique de type Remote Code Execution (RCE) affectant le plugin WordPress Kali Forms (constructeur de formulaires drag-and-drop), installé sur plus de 10 000 sites actifs. 🔍 Nature de la vulnérabilité La faille réside dans le flux form_process et la fonction prepare_post_data(), qui accepte des données contrôlées par l’attaquant sans validation ni liste blanche. Ces données sont injectées dans des placeholders internes ({entryCounter}, {thisPermalink}), puis transmises à la méthode _save_data() où elles sont exécutées via call_user_func(). ...