La Direction Générale de la Sécurité des Systèmes d’Information a émis une alerte concernant des vulnérabilités jugées critiques affectant plusieurs extensions largement utilisées sur la plateforme WordPress, susceptibles d’exposer certains sites web, notamment les plateformes d’information et les sites de commerce électronique, à des risques de compromission.
Dans un bulletin de sécurité portant la référence 62021303/26, l’organisme indique que ces failles concernent notamment les extensions WooCommerce, Ally et wpDiscuz, utilisées pour la gestion des boutiques en ligne, l’accessibilité web et les systèmes de commentaires.
Selon les informations techniques publiées, ces vulnérabilités pourraient permettre à des attaquants d’obtenir des privilèges non autorisés au sein des systèmes concernés, notamment par l’exécution de code à distance et la prise de contrôle des serveurs des sites affectés. Certaines failles identifiées, dont celle référencée CVE-2026-3891, pourraient également conduire à une élévation de privilèges et à l’accès aux comptes administrateurs.
Les données techniques communiquées par le Centre de veille, de détection et de réponse aux attaques informatiques, connu sous le nom de maCERT, indiquent que les versions concernées incluent les versions de WooCommerce antérieures à 1.6.0, l’extension Ally antérieure à 4.1.0, ainsi que le système de commentaires wpDiscuz antérieur à 7.6.47. Ces versions présentent des failles pouvant être exploitées à travers différentes techniques, notamment SQL Injection ou l’envoi de fichiers arbitraires.
Dans ce contexte, la Direction Générale de la Sécurité des Systèmes d’Information appelle les responsables des systèmes d’information au sein des institutions publiques et privées à procéder à la vérification et à la mise à jour immédiate de ces extensions vers leurs versions sécurisées, afin de réduire les risques potentiels pour les systèmes numériques.