La Direction générale de la sécurité des systèmes d’informations (DGSSI) relevant de l’Administration de la…
Cybersécurité: la DGSSI alerte sur de graves failles dans plusieurs extensions WordPress
Publié le
La Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la Défense nationale, a mis en garde contre plusieurs failles de sécurité importantes détectées dans certaines extensions très utilisées de la plateforme WordPress.
Dans un bulletin de sécurité référencé 62021303/26, l’institution indique que ces vulnérabilités pourraient exposer de nombreux sites web, notamment les plateformes de commerce électronique et les sites d’information, à des risques d’intrusion si les systèmes concernés ne sont pas mis à jour rapidement.
La DGSSI précise que le niveau de gravité de ces failles est classé « important », en raison de la capacité potentielle des attaquants à obtenir des privilèges étendus au sein des systèmes ciblés.
Plusieurs extensions populaires concernées
Les vulnérabilités identifiées touchent notamment les extensions WooCommerce, utilisée pour la gestion des boutiques en ligne, Ally, dédiée à l’amélioration de l’accessibilité des sites web, ainsi que wpDiscuz, un système de gestion des commentaires largement adopté par les sites WordPress.
Selon les données techniques publiées, ces failles pourraient être exploitées pour exécuter du code malveillant à distance via des techniques de Remote Code Execution (RCE), permettant aux attaquants de prendre le contrôle des serveurs hébergeant les sites concernés.
Certaines vulnérabilités identifiées sous des références internationales telles que CVE-2026-3891 pourraient également permettre une élévation de privilèges, donnant aux pirates la possibilité de supprimer ou d’ajouter des fichiers arbitraires et d’accéder à des comptes administrateurs.
Risque pour les données des utilisateurs
L’exploitation de ces failles pourrait entraîner la compromission des bases de données, l’accès non autorisé aux systèmes ou encore la fuite et la manipulation de données sensibles, notamment celles des utilisateurs et des clients.
Le rapport technique publié par maCERT (le Centre marocain de veille, de détection et de réponse aux attaques informatiques) indique que les versions vulnérables sont:
· les versions antérieures à 1.6.0 de l’extension WooCommerce ;
· les versions antérieures à 4.1.0 de l’extension Ally ;
· les versions antérieures à 7.6.47 du système de commentaires wpDiscuz.
Lire aussi: DGSSI: 879 cyberattaques recensées en 2025, 109 interventions directes
Ces versions comportent des failles permettant notamment des attaques de type SQL Injection, susceptibles de donner accès aux bases de données, ainsi que des techniques Arbitrary File Upload, permettant l’envoi de fichiers malveillants sur les serveurs sans authentification préalable.
Appel à une mise à jour urgente
Face à ces risques, la DGSSI appelle les responsables des systèmes d’information dans les administrations publiques et les entreprises privées à mettre immédiatement à jour les extensions concernées vers leurs versions sécurisées.
L’institution recommande également l’adoption de bonnes pratiques de cybersécurité, telles que la mise à jour régulière des logiciels, la surveillance des activités des serveurs et la protection des bases de données, afin de réduire les risques d’attaques informatiques et de renforcer la sécurité des infrastructures numériques.
