clubic.com : Des dizaines de milliers de sites WordPress sont exposés à une vulnérabilité majeure. Une faille découverte dans une extension largement déployée permet à un simple visiteur d’obtenir les droits d’administrateur en quelques clics.

Un problème de sécurité touche actuellement l’écosystème WordPress via une extension largement déployée. Baptisée CVE-2026-1492, la faille concerne le plugin User Registration & Membership, utilisé par plus de 60 000 sites. Elle permet à un utilisateur malveillant de créer un compte doté de privilèges élevés et d’obtenir un contrôle total sur un site web. Les chercheurs en cybersécurité ont déjà observé des tentatives d’exploitation. Les administrateurs concernés sont donc invités à appliquer rapidement les mises à jour disponibles.

Un attaquant peut obtenir des privilèges administrateur en détournant le processus de création de compte. La vulnérabilité repose sur la possibilité de modifier la requête envoyée lors de l’inscription. En manipulant ces paramètres, il devient possible d’attribuer directement au nouvel utilisateur un rôle WordPress élevé, normalement réservé aux administrateurs du site.