Plusieurs vulnérabilités critiques de plugins WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) exposent plus de 8 millions de sites web à l'exécution de code à distance. Les entreprises réglementées NIS2 doivent signaler sous 24 heures — voici votre plan d'action.
Une vulnérabilité critique d'exécution de code à distance non authentifiée dans WP Advanced Forms (versions < 3.4.2) permet aux attaquants d'exécuter du code PHP arbitraire. Plus de 3 millions d'installations actives affectées.
Une faille d'injection SQL dans ElementorPro Widgets (versions < 4.1.7) permet l'extraction complète de la base de données. 2,8 millions de sites à risque.
Un contournement d'authentification dans WooCommerce Payments Gateway (versions < 6.9.3) permet l'escalade vers les privilèges administrateur. 2,5 millions de boutiques e-commerce potentiellement compromises.
| CVE | Plugin | CVSS | Installations actives | Version corrigée |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
Au total, ces vulnérabilités affectent plus de 8 millions d'installations WordPress dans le monde.
En vertu de la directive NIS2 de l'UE (Directive 2022/2555), les organisations classées comme entités essentielles ou importantes font face à des obligations strictes :
L'article 23 de NIS2 exige une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Une notification complète d'incident doit être soumise au CSIRT national dans les 72 heures.
wp plugin list --status=active sur toutes les instances WordPressRecevez des alertes de vulnérabilité en temps réel, une surveillance de conformité NIS2 et des briefings de sécurité quotidiens.
Commencer l'essai gratuit →Restez vigilant. — L'équipe de sécurité KENSAI