Plateforme
wordpress
Composant
backwpup
Corrigé dans
5.6.7
5.6.7
Une vulnérabilité de Local File Inclusion (LFI) a été découverte dans le plugin BackWPup pour WordPress. Cette faille, présente dans les versions 5.6.6 et antérieures, permet à un attaquant authentifié disposant d'un accès d'administrateur ou supérieur, d'inclure des fichiers PHP arbitraires sur le serveur via le paramètre block_name de l'endpoint REST /wp-json/backwpup/v1/getblock. La vulnérabilité a été publiée le 13 avril 2026 et une correction est disponible dans la version 5.6.7.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers PHP arbitraires sur le serveur WordPress. Cela peut conduire à la lecture de fichiers sensibles tels que wp-config.php, qui contient des informations d'identification de la base de données et d'autres paramètres de configuration critiques. Dans certains cas, cela peut également permettre l'exécution de code à distance (RCE) si l'attaquant peut uploader et inclure un fichier PHP malveillant. L'impact est significatif car la compromission du fichier wp-config.php peut donner un accès complet à la base de données WordPress, permettant à l'attaquant de modifier le contenu du site, de voler des données utilisateur et de prendre le contrôle du serveur.
Cette vulnérabilité a été publiée le 13 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié d'administrateur et de la complexité potentielle de l'exploitation. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.
• wordpress / composer / npm:
grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php• generic web:
curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denieddisclosure
Statut de l'Exploit
EPSS
0.41% (percentile 61%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin BackWPup vers la version 5.6.7 ou supérieure. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire consiste à restreindre l'accès à l'endpoint /wp-json/backwpup/v1/getblock via un pare-feu d'application web (WAF) ou un proxy inverse. Il est également recommandé de vérifier régulièrement les fichiers du plugin pour détecter toute modification non autorisée. Après la mise à jour, vérifiez que l'endpoint /wp-json/backwpup/v1/getblock renvoie une erreur 403 (Interdit) lorsqu'il est appelé avec des séquences de traversal de chemin.
Mettre à jour vers la version 5.6.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6227 is a Local File Inclusion vulnerability in the BackWPup plugin for WordPress, allowing authenticated administrators to include arbitrary PHP files.
You are affected if you are using BackWPup version 5.6.6 or earlier. Upgrade to 5.6.7 to mitigate the risk.
Upgrade the BackWPup plugin to version 5.6.7 or later. Consider restricting access to the vulnerable endpoint as a temporary workaround.
There are currently no confirmed reports of active exploitation, but public POCs are likely to emerge.
Refer to the BackWPup plugin website or WordPress.org plugin page for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.