
Il y a des vulnérabilités qui ne peuvent pas attendre et qui doivent être traitées en priorité. La nouvelle faille critique découverte dans le cœur de WordPress en fait partie. Elle permet à un attaquant anonyme d’exécuter du code à distance sur un site, sans authentification. Baptisée wp2shell, cette vulnérabilité concerne les versions 6.9 et 7.0 du CMS. Le 17 juillet 2026, WordPress a publié des correctifs en urgence et activé des mises à jour forcées pour protéger le Web mondial, avec un parc estimé à plus de 500 millions de sites web. Voici ce que l’on sait.
Une RCE pré-authentifiée qui ne réclame aucun plugin
C’est l’équipe de recherche Assetnote, la branche de Searchlight Cyber spécialisée dans la gestion de la surface d’attaque, qui a mis la main sur cette vulnérabilité. Le chercheur Adam Kues l’a signalée à WordPress via le programme HackerOne de l’éditeur, avant une publication sous le nom de code wp2shell. Derrière ce nom, se cache une vulnérabilité capable de faire trembler le Web.
Dans les faits, il s’agit d’une exécution de code à distance (RCE) exploitable sans authentification. Cela signifie qu’un attaquant peut exécuter du code sur votre serveur WordPress, sans se connecter à un compte : il a juste besoin de pouvoir visiter votre site WordPress. Le point d’entrée est l’API REST de WordPress, plus précisément l’endpoint responsable des traitements par lot situé à l’adresse /wp-json/batch/v1. En revanche, et dans le but de protéger les utilisateurs, les chercheurs n’ont pas dévoilé de détails techniques à propos de cette faille (le rapport est ici).
Ce qui est certain, c’est que cette vulnérabilité se situe dans le Core de WordPress, elle est donc présente sur toutes les installations par défaut. Pas besoin de compte, ni de configuration spécifique, ni d’extension tierce pour qu’elle soit exploitable.
Côté versions concernées (ou pas) par cette vilaine faille, voici la liste :
Versions 6.9.0 à 6.9.4 : affectées.
Versions 7.0.0 à 7.0.1 : affectées.
Versions 6.8.5 et antérieures : non affectées.
Autrement dit, la faille de sécurité a été introduite dans la version WordPress 6.9, publiée le 2 décembre 2025. Donc si vous avez mis à jour votre site WordPress depuis le début de l’année 2025, ou même installé un WordPress tout simplement, il est potentiellement vulnérable.
WordPress force les mises à jour
Sur le papier, 500 millions de sites web sont potentiellement vulnérables : soit le nombre d’installations de WordPress. Le chiffre d’instances vulnérables diminue minute après minute, puisque WordPress a activé des mises à jour forcées via son système de mise à jour automatique. Autrement dit, de nombreux sites ont déjà installé le patch de sécurité de façon automatique (je l’ai constaté sur plusieurs instances).
En effet, en réponse à cette faille de sécurité, WordPress a publié le 17 juillet 2026 les versions 7.0.2, 6.9.5 et 6.8.6. Si l’on regarde le journal des modifications de la version 7.0.2, on voit que WordPress a patché en réalité deux problèmes signalés séparément.
wp2shell, la confusion de route sur l’API REST menant à l’exécution de code, rapportée par Adam Kues (Searchlight Cyber).
Une injection SQL signalée de son côté par l’équipe composée de TF1T, dtro et haongo.
La branche 6.9 est touchée par les deux vulnérabilités, d’où le correctif 6.9.5 qui les corrige toutes les deux. C’est le cas aussi pour la branche 7.0. La branche 6.8, elle, n’est concernée que par l’injection SQL, corrigée par la version 6.8.6. Elle échappe donc à wp2shell.
Attention toutefois avec le mécanisme de mise à jour automatique : rien ne garantit qu’il va fonctionner à tous les coups, y compris sur les sites où toutes les mises à jour automatiques sont désactivées. Ne partez pas du principe que le correctif est passé, vérifiez par vous-même depuis le tableau de bord de WordPress (c’est indiqué en bas à droite).
Si une mise à jour immédiate n’est pas possible, plusieurs mesures temporaires existent :
Bloquer au niveau d’un WAF à la fois le chemin /wp-json/batch/v1 et le paramètre ?rest_route=/batch/v1. Les deux doivent être bloqués, car une règle ne couvrant que le chemin de base laisse la seconde route ouverte.
Installer une extension qui bloque tout accès anonyme à l’API REST (une bonne pratique).
Ce nouvel épisode s’inscrit dans une série chargée pour le cœur du CMS. En mars dernier, nous revenions déjà sur dix vulnérabilités corrigées et trois versions déployées en 48 heures sur cette même branche 6.9. Pour aller plus loin, notre tutoriel pour auditer un site WordPress avec WPScan vous aidera à repérer failles et défauts de configuration.
Enfin, sachez que Searchlight Cyber a mis en ligne un outil public, wp2shell.com, permettant de tester si une instance est vulnérable.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.
