Une faille de sécurité critique affecte l’extension “User Registration & Membership” utilisée par plus de 60 000 sites WordPress. Elle permet à n’importe quel attaquant de devenir administrateur du site WordPress, sans authentification préalable.
Un accès direct vers les privilèges administrateur
Développée par WPEverest, l’extension “User Registration & Membership” permet d’améliorer toute l’expérience d’inscription, de connexion et de gestion de comptes sur un site WordPress. Elle permet aussi de créer des formulaires personnalisés et gère les paiements via PayPal ou Stripe pour la gestion des membres payants.
Malheureusement, une faille de sécurité critique expose des dizaines de milliers de sites WordPress à une compromission totale. Cette faille de sécurité, associée à la référence CVE-2026-1492 et à un score CVSS de 9.8/10 réside dans le processus d’enregistrement des membres. Le plugin permet à un attaquant de manipuler la requête de création de compte pour choisir le rôle WordPress qu’il souhaite lors de la création de compte. Une aubaine pour passer du statut de visiteur au statut d’administrateur WordPress en quelques minutes….
Surtout, l’accès à un compte administrateur ouvre la voie à la compromission complète du site Web. Il dispose d’un accès complet pour :
Modifier le contenu du site et les paramètres de sécurité.
Installer des extensions ou des thèmes malveillants.
Éditer le code PHP pour insérer des portes dérobées (backdoors) via le navigateur Web.
Exclure les administrateurs de leur propre site.
Exfiltrer la base de données des utilisateurs ou diffuser des malwares aux visiteurs.
CVE-2026-1492 : des attaques en cours
Les chercheurs en sécurité de chez Wordfence ont déjà observé une campagne d’attaque où les pirates cherchent à exploiter cette vulnérabilité. En l’espace de 48 heures, près de 300 tentatives d’exploitation ont été bloquées.
Si vous utilisez cette extension, il est plus que recommandé d’installer la version la plus récente. Il est à noter que la CVE-2026-1492 affecte toutes les versions de “User Registration & Membership” jusqu’à la version 5.1.2 incluse. Le correctif a été intégré à la version 5.1.3, tout en sachant que la version la plus récente est la version 5.1.4.
La version “Pro” et payante de cette extension (actuellement en version 6.x) ne semble pas vulnérable puisqu’il n’y a aucune mention de cette vulnérabilité dans les journaux de modifications.
Une autre faille dans une extension SSO
Sachez qu’une faille de sécurité critique a également été corrigée dans l’extension nommée “All-in-One Microsoft 365 & Entra ID / Azure AD SSO Login”, utilisée par plus de 600 sites WordPress. Associée à la référence CVE-2026-2628, cette vulnérabilité permet aussi d’obtenir les privilèges administrateurs.
“Cela permet à des attaquants non authentifiés de contourner l’authentification et de se connecter en tant qu’autres utilisateurs, y compris les administrateurs.”, précise Wordfence.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.