← Retour au blog
Security Briefing 10 min de lecture

Vulnérabilités critiques des plugins WordPress exposant des millions de sites — Ce que les entreprises conformes NIS2 doivent faire maintenant

Plusieurs vulnérabilités critiques de plugins WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) exposent plus de 8 millions de sites web à l'exécution de code à distance. Les entreprises réglementées NIS2 doivent signaler sous 24 heures — voici votre plan d'action.


Trois vulnérabilités critiques de plugins WordPress découvertes

CVE-2026-1743 — WP Advanced Forms : RCE non authentifiée (CVSS 9.8)

Une vulnérabilité critique d'exécution de code à distance non authentifiée dans WP Advanced Forms (versions < 3.4.2) permet aux attaquants d'exécuter du code PHP arbitraire. Plus de 3 millions d'installations actives affectées.

CVE-2026-1891 — ElementorPro Widgets : Injection SQL (CVSS 9.1)

Une faille d'injection SQL dans ElementorPro Widgets (versions < 4.1.7) permet l'extraction complète de la base de données. 2,8 millions de sites à risque.

CVE-2026-2034 — WooCommerce Payments : Contournement d'authentification (CVSS 9.4)

Un contournement d'authentification dans WooCommerce Payments Gateway (versions < 6.9.3) permet l'escalade vers les privilèges administrateur. 2,5 millions de boutiques e-commerce potentiellement compromises.


Évaluation d'impact

CVEPluginCVSSInstallations activesVersion corrigée
CVE-2026-1743WP Advanced Forms9.83,1M3.4.2
CVE-2026-1891ElementorPro Widgets9.12,8M4.1.7
CVE-2026-2034WooCommerce Payments9.42,5M6.9.3

Au total, ces vulnérabilités affectent plus de 8 millions d'installations WordPress dans le monde.


Implications de conformité NIS2

En vertu de la directive NIS2 de l'UE (Directive 2022/2555), les organisations classées comme entités essentielles ou importantes font face à des obligations strictes :

Alerte précoce dans les 24 heures

L'article 23 de NIS2 exige une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif.

Notification d'incident dans les 72 heures

Une notification complète d'incident doit être soumise au CSIRT national dans les 72 heures.

Amendes et pénalités


Plan d'action immédiat

Étape 1 : Identifier les actifs affectés (0–2 heures)

Étape 2 : Patcher immédiatement (2–4 heures)

Étape 3 : Enquêter sur les compromissions (4–12 heures)

Étape 4 : Signalement NIS2 (si compromis)

Protégez votre organisation avec KENSAI

Recevez des alertes de vulnérabilité en temps réel, une surveillance de conformité NIS2 et des briefings de sécurité quotidiens.

Commencer l'essai gratuit →

Restez vigilant. — L'équipe de sécurité KENSAI