WordPress

🔍 Contexte Publié le 16 juin 2026 par Sekoia TDR (Jeremy Scion et Quentin Bourgue), cet article est la version publique d’un rapport privé distribué aux clients le 2 juin 2026. Il documente en profondeur le framework ErrTraffic, un outil de distribution de malwares opéré sous modèle Malware-as-a-Service (MaaS). 🧩 Description du framework ErrTraffic ErrTraffic est un framework JavaScript injecté dans des sites WordPress compromis pour afficher des leurres ClickFix (faux BSOD, reCAPTCHA, Cloudflare Turnstile) et distribuer des malwares aux visiteurs. Il intègre un Traffic Distribution System (TDS) avec : ...

🔍 Contexte Source : CrowdSec Tracker (https://tracker.crowdsec.net/cves/CVE-2026-8181), publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026. 🐛 Vulnérabilité CVE-2026-8181 est une vulnérabilité critique d’authentification bypass (CVSS : 9.8) affectant le plugin Burst Statistics – Privacy-Friendly WordPress Analytics pour WordPress CMS, dans les versions 3.4.0 à 3.4.1.1. La faille réside dans une mauvaise gestion de la valeur de retour de la fonction is_mainwp_authenticated() lors de la validation des mots de passe d’application issus de l’en-tête Authorization. Un attaquant non authentifié, connaissant le nom d’utilisateur d’un administrateur, peut usurper son identité en fournissant n’importe quel mot de passe en Basic Authentication, aboutissant à une élévation de privilèges. ...

📰 Source : BleepingComputer — publié le 6 juin 2026 Contexte Une vulnérabilité critique identifiée sous CVE-2026-3300 affecte le plugin commercial Everest Forms Pro (versions 1.9.12 et antérieures) pour WordPress. Cette faille est activement exploitée dans la nature depuis le 13 avril, selon les données télémétriques de Wordfence. Détails techniques La vulnérabilité réside dans la fonctionnalité Complex Calculation du plugin, qui insère des valeurs soumises via des champs de formulaire dans une chaîne de code PHP, puis exécute ce code via la fonction eval(). ...

📰 Contexte Source : blog.sucuri.net — Publication du 1er juin 2026. Il s’agit du récapitulatif mensuel de Sucuri listant les vulnérabilités de sécurité découvertes et patchées dans l’écosystème WordPress (plugins et thèmes) au cours du mois de mai 2026. 🔴 Vulnérabilités critiques Trois vulnérabilités sont classées Critical : Advanced Custom Fields: Extended (≤ 0.9.2.5) — Privilege Escalation sans authentification — CVE-2026-8809 — patché en 0.9.2.6 Avada (Fusion) Builder (≤ 3.15.2) — Remote Code Execution sans authentification — CVE-2026-6279 — patché en 3.15.3 Gravity Forms (≤ 2.10.0.1) — Arbitrary File Deletion sans authentification — CVE-2026-48866 — patché en 2.10.1 🟠 Vulnérabilités High sans authentification (sélection) LiteSpeed Cache (≤ 7.7) — XSS — CVE-2026-3375 — 7M+ installations WooCommerce PayPal Payments (≤ 4.0.1) — Broken Access Control — CVE-2026-9284 Forminator Forms (≤ 1.52.1) — Arbitrary File Read — CVE-2026-5192 ManageWP Worker (≤ 4.9.31) — XSS — CVE-2026-3718 Database Backup for WordPress (≤ 2.5.2) — Arbitrary File Read + Broken Access Control (x2) — CVE-2026-4030, CVE-2026-4029, CVE-2026-4031 Kirki (≤ 6.0.6) — Arbitrary File Read — CVE-2026-8073 Post SMTP (≤ 3.6.2) — XSS — CVE-2026-48838 Appointment Booking Calendar (≤ 1.6.11.8) — SQL Injection — CVE-2026-7797 Email Marketing for WooCommerce by Omnisend (≤ 1.18.0) — Broken Authentication — CVE-2026-42668 PixelYourSite Pro (≤ 12.5.0.1) — SSRF — CVE-2026-7049 Avada (Fusion) Builder (≤ 3.15.1) — SQL Injection — CVE-2026-4798 Slider Revolution — Arbitrary File Upload — CVE-2026-6692 Betheme (≤ 28.4) — Remote Code Execution — CVE-2026-6261 Roneous (≤ 2.1.5) — Local File Inclusion sans authentification — CVE-2025-69177 — pas de patch disponible 🟡 Plugins sans patch disponible au moment de la publication Meta for WooCommerce (≤ 3.7.0) — Open Redirect — CVE-2026-49059 Adminimize (≤ 1.11.11) — Broken Access Control — CVE-2026-49045 Duplicate Page and Post (≤ 2.9.5) — SQL Injection — CVE-2026-49046 The Post Grid (≤ 7.9.2) — Broken Access Control — CVE-2026-49054 Roneous (≤ 2.1.5) — Local File Inclusion — CVE-2025-69177 📊 Périmètre global L’article couvre plus de 100 entrées CVE réparties sur des dizaines de plugins et thèmes WordPress, avec des bases d’installation allant de 90 000 à plus de 10 millions (Yoast SEO). Les types de vulnérabilités incluent : XSS, Broken Access Control, SQL Injection, RCE, Privilege Escalation, Arbitrary File Read/Upload/Deletion, IDOR, SSRF, Path Traversal, Local File Inclusion, Information Disclosure, Open Redirect, Broken Authentication, Denial of Service, Content Injection. ...

🔍 Contexte CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026. ⚙️ Mécanisme technique La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification. 🔍 Vulnérabilité CVE : CVE-2026-8732, sévérité critique Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market) Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai Correctif : Version 6.1.1 publiée le 20 mai 2026 ⚙️ Mécanisme d’exploitation La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur : ...

🗓️ Contexte Source : BleepingComputer — publié le 15 avril 2026. L’article rapporte une attaque de type supply chain ciblant la suite de plugins WordPress EssentialPlugin, anciennement connue sous le nom WP Online Support (fondée en 2015, rebaptisée en 2021). 🔍 Déroulement de l’incident Après le rachat du projet EssentialPlugin pour un montant à six chiffres par un nouveau propriétaire, un backdoor a été introduit dans l’ensemble des plugins de la suite dès août 2025. Ce code malveillant est resté inactif pendant plusieurs mois avant d’être activé récemment via des mises à jour poussées aux utilisateurs. ...

🗓️ Contexte Source : The Cyber Express, publié le 14 avril 2026. L’article couvre la divulgation et l’exploitation active d’une vulnérabilité critique de type Remote Code Execution (RCE) affectant le plugin WordPress Kali Forms (constructeur de formulaires drag-and-drop), installé sur plus de 10 000 sites actifs. 🔍 Nature de la vulnérabilité La faille réside dans le flux form_process et la fonction prepare_post_data(), qui accepte des données contrôlées par l’attaquant sans validation ni liste blanche. Ces données sont injectées dans des placeholders internes ({entryCounter}, {thisPermalink}), puis transmises à la méthode _save_data() où elles sont exécutées via call_user_func(). ...

🔍 Contexte Article publié le 9 avril 2026 par Austin Ginder sur anchor.host. Il s’agit d’un post-mortem technique détaillé d’une attaque de chaîne d’approvisionnement ciblant l’écosystème WordPress, découverte suite à une alerte client sur un plugin nommé Countdown Timer Ultimate. 🎯 Nature de l’attaque Un acheteur identifié uniquement comme « Kris », avec un profil en SEO, crypto et marketing de jeux d’argent en ligne, a acquis début 2025 via la marketplace Flippa le portefeuille de 31 plugins WordPress de la société « Essential Plugin » (anciennement WP Online Support) pour un montant à six chiffres. Dès son premier commit SVN le 8 août 2025, il a introduit un backdoor PHP par désérialisation dans le fichier class-anylc-admin.php du plugin Countdown Timer Ultimate (version 2.6.7), en mentant dans le changelog (« Check compatibility with WordPress version 6.8.2 »). ...

🏥 Contexte Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux. 🔍 Domaines concernés Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019 Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026 ⚙️ Vecteur d’attaque suspecté Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent : ...