Une vulnérabilité critique a été découverte dans WordPress, permettant à un attaquant anonyme d’exécuter du code à distance sans authentification. Nommée wp2shell, cette faille affecte les versions 6.9 et 7.0 du CMS. Le 17 juillet 2026, WordPress a publié des correctifs d’urgence et activé des mises à jour forcées pour protéger plus de 500 millions de sites web. Voici les détails.
Une RCE pré-authentifiée sans plugin requis
L’équipe de recherche Assetnote, branche de Searchlight Cyber, a identifié cette vulnérabilité. Le chercheur Adam Kues l’a signalée à WordPress via le programme HackerOne, conduisant à la publication sous le nom de code wp2shell. Cette vulnérabilité permet l’exécution de code à distance (RCE) sans authentification, ce qui signifie qu’un attaquant peut exécuter du code sur un serveur WordPress simplement en visitant le site, sans avoir besoin de compte.
Le point d’entrée est l’API REST de WordPress, spécifiquement l’endpoint à l’adresse
/wp-json/batch/v1. Les chercheurs ont choisi de ne pas divulguer de détails techniques pour protéger les utilisateurs (rapport ici).Cette vulnérabilité est présente dans le cœur de WordPress, ce qui signifie qu’elle affecte toutes les installations par défaut, sans nécessiter de compte, de configuration spécifique ou d’extensions tierces.
Les versions concernées par cette faille sont :
- Versions 6.9.0 à 6.9.4 : affectées.
- Versions 7.0.0 à 7.0.1 : affectées.
- Versions 6.8.5 et antérieures : non affectées.
La faille a été introduite dans WordPress 6.9, publiée le 2 décembre 2025. Si votre site a été mis à jour depuis le début de l’année 2025, il est potentiellement vulnérable.
WordPress active des mises à jour forcées
Avec environ 500 millions de sites web utilisant WordPress, la vulnérabilité touche un grand nombre d’installations. Toutefois, ce nombre diminue rapidement grâce à l’activation des mises à jour forcées. De nombreux sites ont déjà installé le patch de sécurité automatiquement.
En réponse à cette faille, WordPress a publié le 17 juillet 2026 les versions 7.0.2, 6.9.5 et 6.8.6. Le journal des modifications de la version 7.0.2 indique que deux problèmes ont été corrigés :
- wp2shell, la confusion de route sur l’API REST menant à l’exécution de code, rapportée par Adam Kues (Searchlight Cyber).
- Une injection SQL, signalée par l’équipe TF1T, dtro et haongo.
La branche 6.9 a été corrigée pour les deux vulnérabilités, tout comme la branche 7.0. La branche 6.8, quant à elle, a été corrigée uniquement pour l’injection SQL.
Il est donc conseillé de vérifier manuellement depuis le tableau de bord de WordPress.
En cas d’impossibilité de mise à jour immédiate, il existe plusieurs mes temporaires :
- Bloquer au niveau d’un WAF le chemin
/wp-json/batch/v1et le paramètre?rest_route=/batch/v1. - Installer une extension pour bloquer l’accès anonyme à l’API REST.
Pour tester si une instance est vulnérable, Searchlight Cyber a mis à disposition un outil public, wp2shell.com.
Source : IT-Connect
