Vulnérabilités WordPress critiques CVE-2026-60137 et CVE-2026-63030 : comment patcher immédiatement
Églantine Montclair
Deux nouvelles vulnérabilités WordPress de haute sévérité ont été découvertes, mettant en danger des millions de sites à travers le monde. La première, référencée CVE-2026-60137, permet une injection SQL facilitée, tandis que la seconde, CVE-2026-63030, exploite une confusion de routage dans l’API REST pour exécuter du code à distance. Découvrez comment ces failles fonctionnent, quelles versions sont concernées et les mesures d’urgence à prendre.
Comprendre les vulnérabilités WordPress critiques de juillet 2026
CVE-2026-60137 : injection SQL facilitée
Cette vulnérabilité, rapportée par une équipe de chercheurs comprenant TF1T, dtro et haongo, permet à un attaquant d’injecter des commandes SQL malveillantes via des requêtes spécialement conçues. Elle affecte toutes les versions de WordPress 6.8 et ultérieures, y compris la version 6.9 et la bêta de 7.1. L’exploitation de cette faille peut entraîner la divulgation de données sensibles, la modification de contenu ou la prise de contrôle partielle du site.
CVE-2026-63030 : exécution de code à distance via l’API REST
Découverte par Adam Kues d’Assetnote et Searchlight Cyber, cette vulnérabilité combine une confusion de routage dans l’API REST avec une injection SQL. Elle affecte WordPress 6.9 et la version bêta de 7.1. L’exploitation réussie permet à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur, compromettant totalement le site et potentiellement le serveur lui-même.
“Cette vulnérabilité est particulièrement dangereuse car elle ne nécessite aucune authentification pour être exploitée, et permet une exécution de code à distance complète.” - Adam Kues, chercheur en sécurité chez Assetnote
Quelles versions de WordPress sont concernées ?
| Version WordPress | Vulnérabilité CVE-2026-60137 | Vulnérabilité CVE-2026-63030 | Correctif disponible ? |
|---|---|---|---|
| 6.8.x | Oui | Non | Version 6.8.6 publiée |
| 6.9.x | Oui | Oui | Version 6.9.5 publiée |
| 7.1 bêta | Oui | Oui | Version 7.1 bêta2 publiée |
| < 6.8 | Non | Non | Aucun correctif nécessaire |
Les versions antérieures à WordPress 6.8 ne sont pas affectées par ces vulnérabilités. Toutefois, elles peuvent présenter d’autres failles de sécurité connues.
Mesures d’urgence pour protéger votre site WordPress
Mise à jour immédiate vers la dernière version
La première action à entreprendre est de mettre à jour votre installation WordPress vers la version corrigée correspondant à votre branche :
- Si vous utilisez WordPress 6.8.x : mettez à jour vers la version 6.8.6
- Si vous utilisez WordPress 6.9.x : mettez à jour vers la version 6.9.5
- Si vous utilisez la version bêta de 7.1 : mettez à jour vers la version 7.1 bêta2
Pour effectuer la mise à jour, connectez-vous à votre tableau de bord d’administration WordPress, puis allez dans le menu “Tableau de bord” > “Mises à jour”. Cliquez sur “Mettre à jour maintenant” pour lancer le processus.
Mesures temporaires si la mise à jour n’est pas possible
Si vous ne pouvez pas mettre à jour immédiatement, les chercheurs de Searchlight Cyber recommandent de bloquer l’accès anonyme à l’API batch. Deux options s’offrent à vous :
- Installer un plugin qui bloque l’accès anonyme à l’API REST dans son intégralité
- Bloquer au niveau du pare-feu applicatif (WAF) les chemins suivants :
/wp-json/batch/v1?rest_route=/batch/v1
Attention : Ces mesures temporaires peuvent avoir un impact sur le fonctionnement légitime de votre site, notamment sur les fonctionnalités utilisant l’API REST. Elles ne doivent être considérées que comme des solutions d’urgence en attendant la mise à jour.
Vérification de l’exploitation potentielle
Après avoir appliqué les correctifs, il est recommandé de vérifier si votre site a été compromis. Voici les signes d’une éventuelle exploitation :
- Fichiers modifiés ou inconnus dans les répertoires de votre installation WordPress
- Utilisateurs administrateurs inconnus ajoutés à votre base de données
- Requêtes suspectes dans les logs du serveur, notamment vers les endpoints
/wp-json/batch/v1 - Contenu modifié ou pages inattendues apparaissant sur votre site
- Alertes de sécurité de votre hébergeur ou de votre plugin de sécurité
Analyse technique des vulnérabilités
Mécanisme de l’injection SQL facilitée (CVE-2026-60137)
Cette vulnérabilité exploite une faiblesse dans la gestion des requêtes SQL au sein du noyau WordPress. Les chercheurs ont découvert que certains paramètres d’entrée n’étaient pas correctement filtrés avant d’être utilisés dans des requêtes préparées. Cela permet à un attaquant d’injecter des commandes SQL malveillantes via des données d’entrée non fiables.
“Dans la pratique, cette vulnérabilité peut être exploitée via des formulaires de commentaires, des requêtes AJAX ou d’autres points d’entrée non authentifiés,” explique un expert en sécurité WordPress. “Un attaquant peut ainsi extraire des données sensibles comme les mots de passe hachés, les clés secrètes ou les informations utilisateur.”
Mécanisme de l’exécution de code à distance (CVE-2026-63030)
Cette vulnérabilité est plus complexe. Elle combine deux problèmes distincts :
- Confusion de routage dans l’API REST : l’attaquant peut forcer WordPress à traiter une requête comme appartenant à un point de terminaison différent de celui prévu
- Injection SQL : cette confusion permet d’atteindre des fonctions vulnérables à l’injection SQL
L’exploitation réussie permet à l’attaquant d’exécuter des commandes SQL arbitraires, puis d’escalader ses privilèges pour exécuter du code PHP sur le serveur. Cela peut conduire à une compromission totale du site et du serveur.
Recommandations de sécurité pour les administrateurs WordPress
Mettre en place une politique de mises à jour automatisées
Pour éviter d’être vulnérable à ce type de faille à l’avenir, activez les mises à jour automatiques pour les versions mineures de WordPress. Dans votre fichier wp-config.php, ajoutez la ligne suivante :
define('WP_AUTO_UPDATE_CORE', 'minor');
Cette configuration garantit que votre site reçoit automatiquement les correctifs de sécurité sans intervention manuelle.
Surveiller les alertes de sécurité
Inscrivez-vous aux listes de diffusion de sécurité WordPress et suivez les comptes officiels sur les réseaux sociaux pour être informé rapidement des nouvelles vulnérabilités. Vous pouvez également utiliser des services de veille comme WPScan ou Wordfence.
Renforcer la sécurité de votre installation
- Utilisez un pare-feu applicatif (WAF) : un WAF peut bloquer les tentatives d’exploitation avant qu’elles n’atteignent votre site
- Limitez les tentatives de connexion : utilisez un plugin comme Limit Login Attempts Reloaded pour prévenir les attaques par force brute
- Auditez régulièrement vos utilisateurs : supprimez les comptes inactifs et vérifiez les permissions
- Sauvegardez régulièrement votre site : en cas de compromission, une sauvegarde récente peut vous permettre de restaurer votre site rapidement
Conclusion : agissez maintenant pour sécuriser votre site WordPress
Les vulnérabilités CVE-2026-60137 et CVE-2026-63030 représentent une menace sérieuse pour tous les sites WordPress utilisant les versions 6.8, 6.9 ou 7.1 bêta. La mise à jour vers les versions corrigées est la seule solution définitive pour protéger votre site. Si vous ne pouvez pas mettre à jour immédiatement, appliquez les mesures temporaires recommandées en bloquant l’accès anonyme à l’API batch.
N’attendez pas que votre site soit compromis pour agir. La fenêtre d’exploitation de ces vulnérabilités est particulièrement dangereuse car les correctifs sont déjà disponibles, ce qui signifie que les attaquants peuvent désormais analyser les différences de code pour développer des exploits. Selon les experts, les tentatives d’exploitation pourraient commencer dans les 48 à 72 heures suivant la publication des correctifs.
Vérifiez dès maintenant la version de votre installation WordPress et effectuez la mise à jour si nécessaire. La sécurité de votre site et de vos données en dépend.