Alerte cybersécurité : la DGSSI signale des failles critiques dans WordPress

La Direction générale de la sécurité des systèmes d’information (DGSSI), rattachée à l’Administration de la Défense nationale, a identifié plusieurs vulnérabilités majeures dans certaines extensions très utilisées de WordPress, mettant en danger de nombreux sites web.

Dans son bulletin de sécurité n°62021303/26, la DGSSI alerte sur des vulnérabilités susceptibles d’exposer sites de commerce électronique et plateformes d’information à des intrusions si elles ne sont pas corrigées rapidement. L’institution classe ces failles comme « importantes » en raison de leur potentiel à permettre aux attaquants d’obtenir des privilèges étendus sur les systèmes compromis.

Parmi les plugins touchés figurent WooCommerce, une extension pour la gestion des boutiques en ligne, Ally pour l’amélioration de l’accessibilité des sites web, et wpDiscuz, un système de gestion des commentaires.

Ces vulnérabilités peuvent être exploitées via des attaques de type Remote Code Execution (RCE), permettant à des pirates de prendre le contrôle des serveurs. Certaines failles, référencées internationalement comme CVE-2026-3891, autorisent également une élévation de privilèges, donnant la possibilité de modifier ou supprimer des fichiers et d’accéder à des comptes administrateurs.

Lire aussi : La DGSSI alerte les bénéficiaires de l’aide sociale

Risques pour les données des utilisateurs

L’exploitation de ces failles pourrait compromettre les bases de données, permettre un accès non autorisé aux systèmes et provoquer la fuite ou la manipulation de données sensibles des utilisateurs et clients. Selon le rapport de maCERT (Centre marocain de veille, de détection et de réponse aux attaques informatiques), les versions vulnérables sont : WooCommerce antérieures à 1.6.0, Ally antérieures à 4.1.0 et wpDiscuz antérieures à 7.6.47.

Ces versions présentent des failles de type SQL Injection et Arbitrary File Upload, permettant respectivement l’accès aux bases de données et l’envoi de fichiers malveillants sans authentification.

Dans ce contexte, la DGSSI appelle les responsables des systèmes d’information des administrations publiques et des entreprises privées à mettre immédiatement à jour ces extensions vers leurs versions sécurisées. Elle recommande également la mise à jour régulière des logiciels, la surveillance constante des activités des serveurs et la protection renforcée des bases de données. Ces mesures sont essentielles pour réduire les risques d’attaques et renforcer la sécurité des infrastructures numériques.