Sécurité WordPress CVE-2026-3844 CVE-2026-1492 Alerte 2026 Par Yohann LE DU Publié le 7 mai 2026 10 min de lecture

Breeze Cache et User Registration : deux failles critiques WordPress activement exploitées

Deux vulnérabilités notées 9.8/10 en l'espace de deux semaines. L'une permet de déposer des fichiers malveillants sur un serveur WordPress sans le moindre identifiant. L'autre ouvre la porte à la création de comptes administrateurs fantômes, là encore sans aucune authentification. Plus de 460 000 sites concernés, attaques en cours.

Action immédiate requise. Si votre site utilise Breeze Cache en version ≤ 2.4.4 ou User Registration & Membership en version ≤ 5.1.2, mettez à jour maintenant. Contactez-nous pour un audit d'urgence →

Sommaire

  1. CVE-2026-3844 - Breeze Cache : upload de fichiers sans authentification
  2. CVE-2026-1492 - User Registration & Membership : accès admin sans identifiants
  3. L'ampleur des attaques en chiffres
  4. Quatrième faille critique WordPress en quelques mois : une tendance qui s'accélère
  5. Actions immédiates
  6. FAQ

CVE-2026-3844 - Breeze Cache : des fichiers malveillants uploadables sans identifiant

Breeze Cache est le plugin de cache de Cloudways, installé sur plus de 400 000 sites WordPress. La faille a été découverte par le chercheur Hung Nguyen, alias bashu, qui a reçu une prime de bug bounty de 2 700 dollars de Wordfence pour la découverte.

Le bug se trouve dans la fonction fetch_gravatar_from_remote : aucune vérification du type de fichier côté serveur. Un attaquant envoie un script PHP malveillant, le dépose sur le serveur, l'exécute à distance. Prise de contrôle totale.

9.8 Score CVSS

CVE-2026-3844 - Breeze Cache (Cloudways)

Upload arbitraire de fichiers sans authentification → Exécution de code à distance (RCE) → Prise de contrôle totale du site.

CVE-2026-3844

La condition d'exploitation à retenir

La faille ne s'active que si l'option "Host Files Locally - Gravatars" est activée dans les paramètres du plugin. Elle est désactivée par défaut - ça protège la majorité des installations. Mais pour ceux qui l'ont activée, parfois sans s'en souvenir, le risque est réel et immédiat.

Wordfence a enregistré 170 tentatives d'exploitation lors de la première alerte fin avril 2026. Le rythme a ensuite fortement accéléré : près de 5 000 tentatives en une seule journée au pic des attaques. Le total documenté dépasse 30 000 tentatives, selon Bleeping Computer. Les attaquants installent des backdoors persistants sur les serveurs compromis.

Versions concernées et correctif

Plugin Versions vulnérables Version corrigée
Breeze Cache (Cloudways) ≤ 2.4.4 ≥ 2.4.5
Vérification rapide : Tableau de bord WordPress → Extensions → Mises à jour disponibles. Breeze Cache doit afficher la version 2.4.5 ou supérieure. Si ce n'est pas le cas, mettez à jour immédiatement.

CVE-2026-1492 - User Registration & Membership : des comptes admin créés sans mot de passe

Soixante mille sites WordPress utilisent le plugin User Registration & Membership pour gérer inscriptions et espaces membres. La faille a été identifiée par les chercheurs de Cyfirma. Score CVSS v4.0 : 9.8/10. Toutes les versions jusqu'à la 5.1.2 incluse sont vulnérables.

Le mécanisme d'exploitation

Le problème vient du workflow d'inscription membre : les valeurs de nonce, normalement utilisées pour sécuriser les requêtes WordPress, sont exposées dans le JavaScript côté client. N'importe quel visiteur, même non connecté, peut les lire.

En récupérant ces valeurs, un attaquant forge des requêtes vers l'endpoint AJAX de WordPress (/wp-admin/admin-ajax.php). Le serveur les traite sans vérifier l'origine ni le niveau d'autorisation de l'expéditeur. L'escalade de privilèges est automatique : l'accès administrateur est accordé sans aucune connexion légitime.

9.8 Score CVSS

CVE-2026-1492 - User Registration & Membership

Nonce exposé côté client → Requête AJAX forgée → Escalade de privilèges automatique → Accès administrateur complet sans connexion.

CVE-2026-1492

Ce qu'un attaquant peut faire une fois à l'intérieur

Avec un accès admin, le site appartient à quelqu'un d'autre. Les conséquences observées incluent :

  • Installation de plugins malveillants, modification des thèmes pour injecter du code arbitraire
  • Création de comptes administrateurs cachés pour maintenir l'accès même après détection initiale
  • Vol de données personnelles : emails, mots de passe hashés, données de formulaires, configurations
  • Redirection des visiteurs vers des pages de phishing ou de distribution de malwares
  • Défiguration du site, injection de scripts malveillants, spam SEO

Les techniques d'exploitation sont déjà partagées et automatisées. Des revendeurs d'accès (Initial Access Brokers) s'intéressent à cette faille pour revendre des accès à des opérateurs de ransomware ou à des campagnes de spam SEO.

Versions concernées et correctif

Plugin Versions vulnérables Version corrigée
User Registration & Membership ≤ 5.1.2 ≥ 5.1.3
Après mise à jour : vérifiez immédiatement la liste de vos comptes administrateurs. Si votre site était exposé avant la mise à jour, des comptes fantômes ont peut-être déjà été créés.

L'ampleur des attaques en chiffres

2
CVEs notées 9.8/10 en deux semaines
400 000+
Sites avec Breeze Cache
60 000+
Sites avec User Registration
30 000+
Tentatives d'exploit Breeze Cache documentées

Quatrième faille critique WordPress en quelques mois : une tendance qui s'accélère

Quatrième alerte critique en quelques mois. Après les failles WooCommerce, Ally et wpDiscuz en mars, l'attaque supply chain sur plus de 20 plugins en avril, puis la vulnérabilité Ninja Forms CVE-2026-0740 quelques jours plus tard, deux nouvelles failles critiques s'ajoutent en l'espace d'une semaine.

Dans les deux cas : aucune authentification requise. Pas de compte compromis à récupérer en amont, pas de phishing préalable, aucune action requise de la part du propriétaire du site. Un script automatisé peut identifier et attaquer des milliers de sites en quelques heures.

C'est le schéma décrit dans notre guide sur le déroulement d'un piratage WordPress : reconnaissance automatisée, identification de la faille, exploitation en masse. Pas de hacker en capuche devant un écran. Des bots.

Pour aller plus loin : notre article sur les risques concrets d'un WordPress non maintenu explique pourquoi ces failles ne touchent presque exclusivement que les sites dont les plugins n'ont pas été mis à jour.

Actions immédiates

1 - Mettre à jour Breeze Cache en version 2.4.5

Tableau de bord → Extensions → Mises à jour disponibles. Appliquez le correctif immédiatement. Cette mise à jour est disponible depuis fin avril 2026.

2 - Désactiver "Host Files Locally - Gravatars" si la mise à jour est impossible

Dans les paramètres de Breeze Cache, désactivez cette option en attendant de pouvoir appliquer le correctif. C'est la seule façon de bloquer l'exploitation sans mettre à jour.

3 - Mettre à jour User Registration & Membership en version 5.1.3

La version corrigée est disponible. Mettez à jour depuis votre tableau de bord WordPress sans délai. Bonnes pratiques pour sécuriser vos extensions WordPress →

4 - Auditer les comptes administrateurs

Allez dans Utilisateurs → Tous les utilisateurs, filtrez par rôle Administrateur. Supprimez tout compte non reconnu, révoquez les sessions actives et changez tous les mots de passe administrateurs.

5 - Scanner le site si une compromission est suspectée

Utilisez Wordfence ou Sucuri pour analyser les fichiers. Inspectez manuellement le dossier /wp-content/uploads/ à la recherche de fichiers PHP anormaux. Une mise à jour ne supprime pas les backdoors déjà déposés.

Indicateurs de compromission à surveiller en priorité :

Fichiers .php dans /uploads
wp-config.php modifié
Comptes admin non reconnus
Redirections suspectes
Ralentissements inexpliqués
Alertes antivirus sur le site
Un point à ne pas négliger : si votre site a été compromis avant la mise à jour, les backdoors déjà installés restent présents après correction du plugin. La mise à jour ferme la porte d'entrée. Elle ne nettoie pas ce qui est déjà à l'intérieur. Dans ce cas, un dépannage WordPress en urgence s'impose.

Si vous gérez plusieurs sites ou n'avez pas le temps de vérifier chaque installation manuellement, c'est ce que couvre une maintenance WordPress : veille sur les nouvelles vulnérabilités, application des mises à jour avant que les attaquants aient le temps d'agir, et sauvegardes permettant un retour arrière si nécessaire.

FAQ - Failles Breeze Cache et User Registration

Ma version de Breeze Cache est-elle vulnérable si l'option Gravatar n'est pas activée ?

Non. La faille CVE-2026-3844 ne peut être exploitée que si l'option "Host Files Locally - Gravatars" est active dans les paramètres de Breeze Cache. Cette option est désactivée par défaut. Si elle n'est pas activée sur votre site, la faille ne peut pas être déclenchée. La mise à jour en version 2.4.5 reste recommandée par précaution, notamment pour les correctifs de sécurité futurs.

Comment vérifier si des comptes administrateurs suspects ont été créés sur mon site ?

Dans votre tableau de bord WordPress, allez dans Utilisateurs, puis filtrez par rôle Administrateur. Pour chaque compte, vérifiez la date de création, l'adresse email et la date de dernière connexion. Tout compte non reconnu doit être supprimé immédiatement et ses sessions révoquées. Changez également les mots de passe de tous les comptes administrateurs existants si une compromission est suspectée.

Un pare-feu WAF peut-il bloquer ces attaques ?

Partiellement. Un WAF comme Wordfence ou Cloudflare peut bloquer certaines tentatives d'exploitation connues, notamment après que les signatures de détection ont été mises à jour. Mais ces signatures peuvent prendre plusieurs heures à être déployées après la publication d'une nouvelle faille, laissant une fenêtre d'exposition. La mise à jour du plugin reste la seule correction définitive. Le WAF est un filet de sécurité supplémentaire, pas un substitut aux mises à jour.

Que faire si mon site WordPress a déjà été compromis via ces failles ?

Mettez d'abord à jour les plugins concernés, puis isolez le site si possible pour protéger vos visiteurs. Analysez les logs serveur pour identifier les accès suspects, vérifiez la présence de fichiers PHP anormaux dans /wp-content/uploads/, auditez la liste complète des comptes administrateurs et révoquez les sessions suspectes. Un expert WordPress peut effectuer un nettoyage complet et vérifier qu'aucun backdoor ne subsiste. Consultez notre service de réparation de site WordPress piraté pour une intervention rapide.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Voir le profil complet →
Pour aller plus loin
Faille critique

Faille critique Ninja Forms : des milliers de sites WordPress exposés

CVE-2026-0740, score CVSS 9.8 - exploitation automatisée en cours sur 50 000 sites.

Lire l'article → Supply chain

Faille critique WordPress 2026 : 20+ plugins compromis via supply chain

Une attaque supply chain compromet plus de 20 plugins WordPress via un rachat malveillant.

Lire l'article → Guide pratique

Site WordPress piraté : que faire ?

7 étapes concrètes pour nettoyer, réparer et sécuriser votre site après un piratage.

Lire l'article →

Votre site WordPress est-il protégé contre ces failles ?

Un audit de sécurité gratuit pour vérifier vos plugins, vos versions et l'état de vos accès administrateurs.

Découvrir la maintenance WordPress → Demander un audit gratuit