Trois nouvelles versions de WordPress en deux jours, avec au final dix vulnérabilités corrigées. Que s’est-il passé ? Pourquoi un tel enchaînement de mises à jour ? Voici ce que l’on sait.

Le mardi 10 mars 2026, deux nouvelles versions de WordPress ont été publiées : 6.9.2 et 6.9.3. Puis, le mercredi 11 mars 2026, une autre version a suivi : 6.9.4. Un tel enchaînement de versions chez WordPress est suffisamment rare pour m’interpeller. Et effectivement, il y avait de quoi s’y intéresser de près : ces nouvelles versions corrigent 10 vulnérabilités.

“WordPress 6.9.2 et WordPress 6.9.3 ont été publiés hier, corrigeant 10 problèmes de sécurité et un bug qui affectait le chargement des fichiers de modèles sur un nombre limité de sites.”, peut-on lire sur le site de WordPress. C’est d’ailleurs tout l’intérêt de cette version 6.9.3 : corriger un bug introduit par la version 6.9.2 et qui pouvait faire planter complètement WordPress.

Le problème, c’est que les patchs de sécurité introduits par la première salve de mises à jour se sont avérés incomplets. La nouvelle version, estampillée 6.9.4, est donc venue renforcer les patchs de sécurité déployés la veille. “La version 6.9.4 a donc été publiée afin d’inclure les corrections supplémentaires nécessaires.”, justifie l’équipe de WordPress.

Les failles de sécurité corrigées dans WordPress

Prenons un moment pour nous intéresser aux 10 vulnérabilités patchées par ces mises à jour de sécurité. Il est à noter que la version 6.9.4 est venue renforcer le patch pour 3 de ces 10 failles de sécurité.

Les failles XSS

Cette version corrige trois vulnérabilités de type Cross-Site Scripting (XSS) :

• XSS stockée dans les menus de navigation : cette faille permettait l’injection de scripts malveillants directement via la gestion des menus.
• XSS stockée via la directive : cette vulnérabilité exploitait une faiblesse dans la manière dont WordPress traite cet attribut de données.
• XSS dans l’ interface d’administration : cette faille permettait à un attaquant de surcharger des modèles (templates) côté client, ciblant spécifiquement le tableau de bord administrateur.

Les contournements de permissions

Deux failles permettant de contourner les droits d’accès ont été patchées :

• Requêtes AJAX () : cette vulnérabilité permettait de contourner les vérifications d’autorisation lors de requêtes asynchrones liées aux pièces jointes.
• Fonctionnalité des Notes : une seconde faille ciblait spécifiquement les droits d’accès au système de Notes de WordPress. Il est à noter que le système de Notes est une nouveauté de WordPress 6.9.

Les vulnérabilités logiques et serveur

Le cœur de WordPress était également exposé à des attaques plus complexes pouvant impacter le serveur ou la disponibilité du service :

• Blind SSRF : cette faille côté serveur permettait de forcer le serveur à émettre des requêtes arbitraires à l’aveugle.
• Déni de service (ReDoS) : une vulnérabilité d’épuisement des ressources par expression régulière, déclenchée via les références de caractères numériques.
• Faiblesse PoP-chain : cette vulnérabilité de type Property Oriented Programming touchait l’API HTML et le registre des blocs (Block Registry).

Les failles liées aux composants tiers

Enfin, deux bibliothèques externes intégrées à WordPress ont dû être patchées :

• Path Traversal dans PclZip : une vulnérabilité de traversée de répertoires au sein de cette bibliothèque d’extraction d’archives.
• XXE dans getID3 : une faille d’injection d’entités externes XML (XXE) dans le composant getID3, très utilisé pour la lecture des métadonnées de fichiers multimédias.

Si vous utilisez WordPress, il est vivement recommandé d’installer la version 6.9.4 dès maintenant. “Comme il s’agit d’une mise à jour de sécurité, il est recommandé de mettre à jour vos sites immédiatement.”, avertit l’équipe de WordPress.