Une faille critique a été débusquée dans un plugin WordPress installé sur 100 000 sites web. Elle permet à un pirate de se créer un compte administrateur sur le site et d’en prendre le contrôle total. La moitié des sites sont toujours vulnérables, bien qu’une mise à jour ait été déployée.
Une vulnérabilité critique a été identifiée dans le code d’Advanced Custom Fields: Extended (ACF Extended), un plugin WordPress qui permet de créer des champs personnalisés (cases, listes, zones de texte, etc.) pour construire des pages et des contenus sur mesure. Dans les détails, le plugin ajoute des fonctionnalités au plugin Advanced Custom Fields (ACF), essentiellement destinées aux développeurs.
Découverte par le chercheur en sécurité Andrea Bocchetti, la faille se situe dans le traitement des formulaires « Insérer un utilisateur / Mettre à jour un utilisateur » d’ACF Extended, précisément dans la gestion du champ du rôle utilisateur. Sur certains formulaires publics ACF Extended, n’importe qui peut se faire passer pour l’administrateur. À la suite d’un manque de contrôles, le plugin accepte qu’un internaute lambda décrète arbitrairement qu’il est l’administrateur du site. En exploitant la faille, un attaquant peut donc s’octroyer des privilèges administrateur sur un site vulnérable.
Le chercheur a rapidement prévenu Wordfence, une entreprise de sécurité spécialisée dans la protection des sites WordPress, de la vulnérabilité. Comme l’explique Wordfence, « comme pour toute vulnérabilité d’élévation de privilèges, celle-ci peut être utilisée pour compromettre totalement un site ». Les chercheurs de Wordfence précisent que la faille ne peut pas être utilisée sur tous les sites ACF Extended, seulement sur ceux qui ont mis en place un certain type de formulaire public précis. Le bug ne s’active que si le site affiche un formulaire ACF Extended qui permet de « créer un utilisateur » ou de « mettre à jour un utilisateur » depuis la partie publique du site. De plus, ce formulaire doit impérativement contenir un champ de rôle, qui détermine si le compte créé sera abonné, auteur, ou administrateur. Aucune « restriction n’est appliquée aux champs de formulaire ». Par conséquent, « le rôle de l’utilisateur peut être défini arbitrairement », relate Wordfence.
« Une fois qu’un attaquant a obtenu des droits administrateur sur un site WordPress, il peut en prendre le contrôle complet, exactement comme le ferait un administrateur légitime. Il peut par exemple téléverser des plugins ou thèmes sous forme d’archives ZIP malveillantes contenant des portes dérobées, modifier des articles et des pages pour y injecter du contenu indésirable ou rediriger les visiteurs vers d’autres sites malveillants », explique le rapport.
À lire aussi : 8,7 millions de cyberattaques contre des sites WordPress – 2 plugins vulnérables ouvrent la porte aux hackers
Un plugin présent sur 100 000 sites web
De plus en plus populaire chez les développeurs, le plugin a été installé par 100 000 sites web. Alerté par Wordfence, le développeur à l’origine du plugin s’est penché sur le problème. Il a inclus un correctif dans la version 0.9.2.2 d’ACF Extended, qui vient d’être déployée. Malheureusement, tous les administrateurs n’ont pas encore installé la mise à jour qui corrige la faille de sécurité. Selon les constatations de Wordfence, la moitié des sites a installé le correctif, ce qui laisse à peu près 50 000 sites toujours vulnérables.
On recommande évidemment à tous les administrateurs de garder tous leurs plugins à jour. Bien souvent, les plugins vulnérables servent de portée d’entrée aux pirates. Il y a quelques mois, des chercheurs ont montré qu’un malware baptisé DollyWay avait réussi à infecter plus de 20 000 sites WordPress entre 2016 et 2025, avant de rediriger leurs visiteurs vers des plateformes d’arnaques en ligne, en exploitant là encore des plugins WordPress laissés sans mise à jour. Ce cas est loin d’être isolé. En 2024, une vulnérabilité dans le plugin Really Simple Security a exposé plus de quatre millions de sites.
La société de cybersécurité GreyNoise a d’ailleurs remarqué que de très nombreux bots scannent massivement les sites WordPress pour voir quels plugins sont installés et repérer ceux qui pourraient être vulnérables. L’opération vise à identifier les sites en vue d’une cyberattaque et d’une tentative de prise de contrôle. Entre fin octobre 2025 et mi-janvier 2026, près de 1 000 adresses IP différentes ont envoyé plus de 40 000 requêtes ciblant 706 plugins WordPress distincts. L’opération prépare le terrain pour des attaques futures.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Wordfence