Identification de 900 000 sites WordPress vulnérables à cause

Une vulnérabilité critique a été identifiée dans le plugin WPvivid Backup & Migration, qui est utilisé sur plus de 900 000 sites WordPress dans le monde. Cette faille, classée comme CVE-2026-1357, a reçu un score maximal de 9,8 sur une échelle de 0 à 10, indiquant son risque potentiel élevé.

Le plugin WPvivid est un outil essentiel pour la sauvegarde et la migration de sites WordPress, permettant aux utilisateurs de faire des copies de sécurité et de transférer des données entre serveurs. Cependant, la faille expose les sites à des attaques en raison de la possibilité d'Exécution de Code à Distance (RCE), permettant aux attaquants d'exécuter des commandes malveillantes sans avoir besoin d'authentification.

Avec ce type de faille, les cybercriminels peuvent prendre le contrôle total d'un site affecté. Selon les experts en sécurité, cette situation met en péril l'intégrité et la confidentialité des données stockées sur les sites.

Comprendre l'attaque

La vulnérabilité a été découverte par le chercheur Lucas Montes et signalée à Defiant, une entreprise spécialisée dans la sécurité de WordPress, le 12 janvier. La faille affecte toutes les versions du plugin jusqu'à la 0.9.123 et résulte d'une combinaison d'erreurs dans le code.

La vulnérabilité s'active lors de l'utilisation de la fonctionnalité "recevoir une sauvegarde d'un autre site", généralement activée lors de migrations de sites. La faille réside dans la validation inadéquate des données chiffrées reçues, permettant à un attaquant d'envoyer des commandes que le plugin ne valide pas correctement.

Lorsque le déchiffrement RSA échoue, le plugin ne suspend pas l'exécution comme il le devrait, créant une clé de chiffrement prévisible. Cela permet aux attaquants d'émettre des fichiers malveillants qui sont acceptés comme légitimes, exploitant l'absence de validation dans les noms de fichiers.

Prise de contrôle complète du site

Une fois que le fichier malveillant est chargé sur le serveur, l'attaquant peut y accéder facilement via le navigateur. Dans WordPress, les fichiers en PHP sont exécutables, c'est-à-dire qu'en y accédant, le serveur exécute automatiquement les commandes qui y sont contenues.

Avec un fichier PHP malveillant accessible, le hacker prend le contrôle du site, pouvant voler des données, modifier du contenu, créer des comptes administratifs et installer des backdoors, qui sont des voies d'entrée pour de futures attaques. Les chercheurs de Defiant soulignent que cette vulnérabilité peut permettre une prise de contrôle totale du site.

Facteurs limitant l'exploitation

Bien que la gravité de la vulnérabilité soit élevée, il existe des restrictions qui peuvent limiter son exploitation massive. La principale est que la fonctionnalité vulnérable n'est pas activée par défaut sur les sites. De plus, lorsque celle-ci est activée, la clé d'accès générée par le plugin reste valide uniquement pendant 24 heures.

Cependant, les experts estiment que ces limitations sont insuffisantes pour éliminer le risque. Les administrateurs peuvent activer la fonction vulnérable lors de la migration, créant ainsi des fenêtres d'opportunité pour des attaques.

Correction déjà disponible

Defiant a informé le développeur du plugin, WPVividPlugins, de la vulnérabilité le 22 janvier. Une correction a été rapidement proposée dans la version 0.9.124, lancée le 28 janvier.

La nouvelle version met en œuvre des mesures de sécurité supplémentaires. Les améliorations incluent une validation stricte des données reçues, une correction de la faille de déchiffrement et une restriction des types de fichiers autorisés pour le téléchargement, évitant l'inclusion de fichiers PHP pouvant contenir du code malveillant.

Les experts recommandent à tous les utilisateurs de WPvivid Backup & Migration de mettre à jour immédiatement vers la version 0.9.124. Étant donné que de nombreux sites restent vulnérables, la probabilité que des attaquants utilisent des scripts automatisés pour exploiter des sites obsolètes est élevée.

Pour vérifier la version installée du plugin, il est recommandé d'accéder au panneau d'administration de WordPress, d'aller à la section "Plugins" et de rechercher "WPvivid". Si la version est 0.9.123 ou antérieure, la mise à jour doit être effectuée immédiatement.

Pour recevoir plus de mises à jour sur la sécurité et la technologie, suivez TecMundo sur les réseaux sociaux et abonnez-vous à notre newsletter et chaîne YouTube.