Vulnérabilités WordPress critiques : CVE-2026-60137 et CVE-2026-63030, patchez d'urgence !
Célestine Rochefour
Plus de 43 % des sites web dans le monde reposent sur WordPress, ce qui en fait la cible privilégiée des cyberattaques. En juillet 2026, deux nouvelles vulnérabilités de haute sévérité ont été découvertes, dont l’une permet une exécution de code à distance (RCE). La version 7.0.2 de WordPress corrige ces failles, mais des centaines de milliers de sites restent exposés. Cet article détaille les vulnérabilités WordPress identifiées, les versions concernées, les correctifs disponibles et les mesures d’urgence à prendre.
Les deux vulnérabilités détaillées
La mise à jour de sécurité WordPress 7.0.2 corrige deux problèmes : une injection SQL facilitée (CVE-2026-60137) et une confusion de route dans l’API batch combinée à une injection SQL menant à une exécution de code à distance (CVE-2026-63030). Ces failles ont été signalées respectivement par les chercheurs TF1T, dtro et haongo, et par Adam Kues d’Assetnote / Searchlight Cyber.
CVE-2026-60137 - Injection SQL facilitée
Cette vulnérabilité permet à un attaquant non authentifié d’injecter des requêtes SQL malveillantes via des paramètres spécifiques. L’injection SQL est une technique classique mais toujours redoutable : elle peut conduire à l’exfiltration de données sensibles (mots de passe, emails, données clients) ou à la prise de contrôle partielle du site. Selon l’ANSSI, les injections SQL représentent encore 25 % des vulnérabilités critiques signalées en 2025. Dans le cas présent, la faille est qualifiée de « facilitée » car elle ne nécessite pas de conditions complexes pour être exploitée.
CVE-2026-63030 - Confusion de route batch API et RCE
Plus inquiétante encore, cette vulnérabilité combine une confusion entre les routes de l’API REST batch et une injection SQL. L’attaquant peut envoyer des requêtes malformées à l’endpoint /wp-json/batch/v1 pour exécuter du code arbitraire sur le serveur. Adam Kues, chercheur chez Assetnote, a démontré qu’un simple appel API pouvait aboutir à une exécution de code à distance (RCE). Concrètement, cela signifie qu’un pirate peut prendre le contrôle total du site, installer des backdoors ou défigurer les pages. Aucune authentification n’est requise pour exploiter cette faille.
« Cette RCE sur l’API batch est l’une des plus dangereuses jamais vues sur WordPress. Elle touche le cœur du framework REST et ne nécessite aucun privilège. » - Adam Kues, Assetnote / Searchlight Cyber
Quelles versions de WordPress sont concernées ?
Le tableau ci-dessous résume les versions affectées et les correctifs associés.
| Version WordPress | CVE-2026-60137 | CVE-2026-63030 | Correctif disponible |
|---|---|---|---|
| 6.9.x | Oui | Oui | Mettre à jour vers 6.9.5 |
| 6.8.x | Oui | Non | Mettre à jour vers 6.8.6 |
| 7.1 beta1 | Oui | Oui | Passer à 7.1 beta2 |
| < 6.8 | Non | Non | Aucun correctif nécessaire |
Important : Les versions antérieures à 6.8 ne sont pas vulnérables. Cependant, il est recommandé de maintenir WordPress à jour pour bénéficier des correctifs de sécurité antérieurs.
Mesures d’urgence et correctifs disponibles
Face à la criticité de ces vulnérabilités WordPress, l’équipe de sécurité de WordPress.org a publié des correctifs dès le 18 juillet 2026. Voici les actions à entreprendre immédiatement.
Mise à jour immédiate
La solution prioritaire est d’installer la version corrigée de WordPress :
- Si vous utilisez WordPress 6.9, mettez à jour vers 6.9.5.
- Si vous utilisez WordPress 6.8, mettez à jour vers 6.8.6.
- Si vous testez WordPress 7.1 beta, passez à 7.1 beta2.
La mise à jour peut être effectuée depuis le tableau de bord d’administration (Mises à jour) ou via WP-CLI avec la commande wp core update. Assurez-vous de sauvegarder votre base de données et vos fichiers avant toute mise à jour.
Mitigation temporaire (blocage de l’API batch)
Si la mise à jour n’est pas possible immédiatement, les chercheurs de Searchlight Cyber recommandent de bloquer l’accès anonyme à l’API batch. Deux méthodes sont proposées :
- Installer un plugin qui bloque l’accès à l’API REST pour les utilisateurs non connectés (exemple : Disable REST API).
- Bloquer les endpoints au niveau du pare-feu applicatif (WAF) en ajoutant des règles pour interdire les requêtes vers
/wp-json/batch/v1et?rest_route=/batch/v1.
Exemple de règle pour Nginx / Apache (via un fichier .htaccess) :
# Bloquer l'accès à l'API batch
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-json/batch/v1 [NC]
RewriteRule ^ - [F]
RewriteCond %{QUERY_STRING} rest_route=/batch/v1 [NC]
RewriteRule ^ - [F]
Attention : le blocage de l’API batch peut impacter certaines fonctionnalités légitimes (plugins utilisant le batch processing). Cette mesure est temporaire et doit être levée dès que la mise à jour est appliquée.
Pourquoi ces vulnérabilités sont-elles particulièrement dangereuses ?
Plusieurs facteurs rendent ces failles critiques :
- Exploitation à distance sans authentification : un attaquant n’a besoin que d’une simple requête HTTP pour déclencher l’injection SQL ou la RCE.
- Impact sur les sites à fort trafic : les sites e-commerce, médias ou institutionnels sous WordPress 6.9 sont directement exposés.
- Simplicité d’exploitation : des preuves de concept (PoC) circulent déjà dans la communauté de la sécurité, augmentant le risque d’attaques massives automatisées par IA.
- Absence de correctif pour certaines versions intermédiaires : les versions 6.8.5 et 6.9.4 ne sont pas corrigées, il faut passer aux versions mineures supérieures.
En pratique, nous avons observé que les sites qui tardent à appliquer les mises à jour de sécurité sont souvent compromis dans les 48 heures suivant la divulgation publique d’une vulnérabilité critique. D’après une étude de Wordfence, 62 % des sites WordPress piratés l’ont été via une faille de sécurité connue et non corrigée.
Bonnes pratiques pour prévenir les futures vulnérabilités WordPress
Au-delà du correctif urgent, voici des mesures structurelles pour renforcer la sécurité de votre site WordPress.
Gestion des mises à jour
- Activez les mises à jour automatiques pour les versions mineures et de sécurité.
- Mettez en place un processus de test sur un environnement de staging avant de déployer les mises à jour majeures.
- Surveillez les bulletins de sécurité officiels (wordpress.org/news) et les flux RSS comme celui de Help Net Security.
Sécurisation de l’API REST
- Limitez l’accès à l’API REST aux utilisateurs authentifiés via des plugins comme Application Passwords ou des règles personnalisées.
- Désactivez les endpoints inutiles avec des filtres WordPress (par exemple,
rest_endpoints). - Utilisez un WAF (Cloudflare, Sucuri, etc.) pour filtrer les requêtes malveillantes.
Surveillance et détection
- Installez un plugin de sécurité (Wordfence, iThemes Security) avec détection d’intrusion.
- Analysez régulièrement les journaux d’accès pour repérer des tentatives d’exploitation de l’API batch.
- Mettez en place une solution de logging centralisé (ELK, Splunk) pour corréler les événements.
« La sécurité de WordPress repose sur une chaîne de responsabilités : l’éditeur du CMS, les développeurs de plugins/thèmes et l’administrateur du site. Chaque maillon doit être solide. » - Guide ANSSI pour la sécurisation des CMS
Conclusion : agir maintenant
Les vulnérabilités WordPress CVE-2026-60137 et CVE-2026-63030 constituent une menace sérieuse pour tous les sites utilisant WordPress 6.8 ou 6.9. La mise à jour vers les versions 6.8.6 ou 6.9.5 est impérative. En attendant, le blocage de l’API batch offre une protection temporaire. Ne négligez pas cette alerte : une seule faille non corrigée peut suffire à compromettre des années de travail et de réputation. Patchez dès aujourd’hui.
Récapitulatif des actions prioritaires :
- Identifiez votre version de WordPress (Administration > Mise à jour).
- Sauvegardez votre site (base de données + fichiers).
- Mettez à jour vers la version corrigée.
- Si mise à jour impossible, bloquez l’API batch via WAF ou plugin.
- Surveillez les logs pour détecter d’éventuelles tentatives d’exploitation.
La sécurité de votre site WordPress est entre vos mains. Ne laissez pas ces vulnérabilités WordPress devenir une porte d’entrée pour les attaquants.