Roundup mai 2026 : 100+ vulnérabilités critiques dans l'écosystème WordPress

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

6 juin 2026 · 7 min

Linux Kernel : proposition d'un mécanisme 'killswitch' pour court-circuiter des fonctions vulnérables

📅 Contexte : Le 7 mai 2026, Sasha Levin (sashal@kernel.org) a soumis un patch sur la liste de diffusion linux-kernel proposant l’ajout d’un nouveau sous-système nommé killswitch au noyau Linux. 🔧 Mécanisme technique : Le killswitch permet à un opérateur disposant de CAP_SYS_ADMIN de faire retourner à une fonction noyau une valeur fixe sans exécuter son corps, via l’installation d’un kprobe à l’entrée de la fonction cible. La commande s’effectue via l’interface securityfs : ...

11 mai 2026 · 3 min

GLPI 11.0.7 & 10.0.25 : 13 vulnérabilités corrigées dont 4 critiques (XSS, suppression arbitraire)

📅 Source : IT-Connect, publié le 30 avril 2026 par Florian Burnel. Contexte L’équipe de GLPI a publié le 29 avril 2026 deux mises à jour de sécurité simultanées : GLPI 11.0.7 (7ème mise à jour mineure de la branche 11) et GLPI 10.0.25 (branche legacy toujours maintenue). Ces versions corrigent un ensemble de vulnérabilités affectant les deux branches du logiciel de gestion de parc informatique. Vulnérabilités corrigées dans GLPI 11.0.7 13 vulnérabilités ont été patchées, dont 4 considérées comme importantes : ...

6 mai 2026 · 2 min

Cisco corrige 4 failles critiques dans Webex Services et Identity Services Engine

🔐 Contexte Publié le 16 avril 2026 sur netcost-security.fr, cet article rapporte la publication par Cisco de mises à jour de sécurité corrigeant quatre vulnérabilités critiques dans deux de ses produits majeurs : Webex Services et Identity Services Engine (ISE). 🚨 Vulnérabilité principale : CVE-2026-20184 (Webex Services) Produit affecté : Cisco Webex Services, via l’intégration SSO (Single Sign-On) avec le Control Hub Type de faille : Authentification inappropriée Impact : Un attaquant distant, sans privilèges, peut usurper l’identité de n’importe quel utilisateur en fournissant un jeton SAML modifié Accès obtenu : Accès non autorisé aux services légitimes Cisco Webex Action requise des clients : Les utilisateurs SSO doivent mettre à jour leur certificat SAML auprès de leur fournisseur d’identité (IdP) dans le Control Hub pour éviter toute interruption de service ⚠️ Vulnérabilités critiques : CVE-2026-20147, CVE-2026-20180, CVE-2026-20186 (ISE) Produit affecté : Cisco Identity Services Engine (ISE) Impact : Exécution de commandes arbitraires sur le système d’exploitation sous-jacent Prérequis : Exploitation nécessitant des privilèges administratifs 📋 Autres correctifs Dix failles de gravité moyenne ont également été corrigées, permettant potentiellement : ...

19 avril 2026 · 2 min

Vulnérabilités critiques corrigées dans Veeam Backup & Replication

Ce bulletin de vulnérabilité met en lumière plusieurs vulnérabilités critiques découvertes dans les produits Veeam Backup & Replication et Veeam Agent for Microsoft Windows. La première vulnérabilité, identifiée sous le CVE-2025-23121, permet une exécution de code à distance (RCE) sur le serveur de sauvegarde par un utilisateur de domaine authentifié. Cette faille est jugée critique avec un score CVSS de 9.9 et affecte les versions 12.3.1.1139 et antérieures de Veeam Backup & Replication. Elle a été corrigée dans la version 12.3.2 (build 12.3.2.3617). ...

18 juin 2025 · 1 min

Mise à jour de sécurité de Microsoft corrigeant 78 vulnérabilités

Selon un article publié par le SANS Internet Storm Center, Microsoft a déployé une mise à jour de sécurité importante en mai. Cette mise à jour corrige 78 vulnérabilités, dont 11 sont classées comme critiques et 66 comme importantes. Parmi ces vulnérabilités, cinq ont déjà été exploitées, ce qui souligne l’urgence de cette mise à jour pour les utilisateurs de produits Microsoft. De plus, deux vulnérabilités étaient connues publiquement avant d’être corrigées, bien qu’elles n’aient pas encore été exploitées. ...

14 mai 2025 · 1 min
Dernière mise à jour le: 14 juillet 2026 📝