Vulnérabilité XSS critique dans le créateur de blocs Shortcodes//Publié le 2026-03-24//CVE-2024-12166

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Shortcodes Blocks Creator Ultimate Vulnerability

Nom du plugin Créateur de blocs de shortcodes ultime
Type de vulnérabilité XSS
Numéro CVE CVE-2024-12166
Urgence Moyen
Date de publication du CVE 2026-03-24
URL source CVE-2024-12166

Urgent : XSS réfléchi dans ‘Shortcodes Blocks Creator Ultimate’ (<= 2.2.0) — Ce que les propriétaires de sites WordPress doivent savoir

Auteur: Équipe de sécurité WP-Firewall

Date: 2026-03-24

Mots clés: WordPress, Sécurité, XSS, WAF, Vulnérabilité, Plugin

Une vulnérabilité de Cross‑Site Scripting (XSS) réfléchie (CVE‑2024‑12166) a été signalée dans le plugin Shortcodes Blocks Creator Ultimate (versions <= 2.2.0). Cet article explique le risque, comment le problème fonctionne à un niveau technique (sans fournir de code d'exploitation), les atténuations immédiates, les étapes de détection et les recommandations de durcissement à long terme. Si vous utilisez WordPress, considérez cela comme une priorité élevée pour révision et atténuation.

TL;DR

Une vulnérabilité de Cross‑Site Scripting (XSS) réfléchie (CVE‑2024‑12166) affecte les versions de Shortcodes Blocks Creator Ultimate <= 2.2.0. Bien que classée avec une gravité moyenne (CVSS 7.1), la vulnérabilité peut être utilisée dans des campagnes d'exploitation à grande échelle ciblant des milliers de sites. La vulnérabilité est déclenchée via le page paramètre et peut être exploitée sans authentification, bien que les attaques réussies nécessitent généralement une interaction de l'utilisateur (par exemple, cliquer sur un lien malveillant).

Si votre site utilise ce plugin :

  • Identifiez immédiatement si le plugin est installé et sa version.
  • Si possible, mettez à jour le plugin si le fournisseur publie une version corrigée. (Au moment de la rédaction, il n'y a pas de correctif du fournisseur pour <= 2.2.0.)
  • Si vous ne pouvez pas mettre à jour immédiatement, appliquez des atténuations : supprimez ou désactivez le plugin, restreignez l'accès à l'interface utilisateur du plugin via IP ou authentification, déployez une règle WAF pour filtrer les charges utiles malveillantes, scannez et surveillez les activités suspectes, et examinez les journaux.
  • Envisagez d'appliquer une solution de pare-feu géré (WP‑Firewall) qui fournit un patch virtuel et bloquera automatiquement de nombreuses tentatives d'attaque pendant que vous remédiez.

Cet article donne une explication technique mais non exploitante, des conseils de détection et d'atténuation, et des recommandations pour durcir votre site WordPress contre les XSS réfléchis et les attaques similaires sur les applications web.

Quel est le problème ?

Shortcodes Blocks Creator Ultimate (<= 2.2.0) contient un défaut de Cross‑Site Scripting (XSS) réfléchi lié à la façon dont un page paramètre de requête est géré et renvoyé dans les réponses HTML. Un attaquant peut créer une URL qui inclut une entrée spécialement conçue à l'intérieur du page paramètre. Si une victime — généralement un utilisateur connecté ou un administrateur visitant une URL conçue ou cliquant sur un lien — charge cette URL, le contenu conçu peut être rendu par le navigateur de la victime et traité comme du JavaScript exécutable. Cela pourrait conduire au vol de session, à l'escalade de privilèges via des flux similaires à CSRF, à des modifications de configuration non autorisées, à de la publicité injectée ou à des redirections, ou au chargement de charges utiles malveillantes supplémentaires.

Faits clés

  • Plugin affecté : Shortcodes Blocks Creator Ultimate
  • Versions vulnérables : <= 2.2.0
  • Classe de vulnérabilité : Cross‑Site Scripting (XSS) réfléchi
  • CVE : CVE‑2024‑12166
  • Privilège requis : Aucun (la demande non authentifiée peut être le vecteur), mais une interaction de l'utilisateur est nécessaire (la victime doit visiter un lien conçu)
  • CVSS : 7.1 (Moyen)
  • État de l'atténuation : Aucun correctif de fournisseur disponible pour les versions affectées au moment de la publication

Pourquoi le XSS réfléchi est important pour les sites WordPress

Le XSS réfléchi est l'une des vulnérabilités web les plus fréquemment exploitées. Dans un contexte WordPress :

  • WordPress alimente des millions de sites avec des niveaux de sécurité variés. De nombreux utilisateurs administrateurs et éditoriaux ont des privilèges élevés — un XSS réussi contre un admin peut causer bien plus de dégâts que contre un visiteur anonyme.
  • Le XSS réfléchi est bien adapté à l'exploitation de masse : les attaquants peuvent envoyer des e-mails de phishing ou injecter des liens dans des sites tiers qui redirigent les victimes vers des URL conçues. Même des sites plus petits avec peu de trafic peuvent être ciblés via l'ingénierie sociale.
  • Les attaquants enchaînent souvent le XSS avec d'autres failles (protection de session insuffisante, défenses CSRF faibles ou fonctionnalités administratives) pour passer d'un pop-up réfléchi à des modifications persistantes sur le site ou des portes dérobées malveillantes.

Parce que la vulnérabilité peut être déclenchée via un lien non authentifié et ne nécessite pas de connexions pour livrer la charge utile malveillante à une victime, les propriétaires de sites doivent traiter cela comme urgent.

Comment la vulnérabilité fonctionne (niveau élevé, non-exploitant)

Nous expliquerons les mécanismes sans montrer de charges utiles exploitables.

  1. Le plugin lit un page paramètre de la requête HTTP entrante (GET).
  2. La valeur de ce paramètre est insérée dans la réponse HTML sans validation côté serveur suffisante ni encodage de sortie.
  3. Si la valeur contient un contexte JavaScript (par exemple, des balises script ou des gestionnaires d'événements), le navigateur l'analysera et l'exécutera lors du rendu de la réponse — c'est le XSS réfléchi.
  4. Parce que la valeur du paramètre est réfléchie uniquement dans le contexte d'une seule réponse (non stockée de manière persistante sur le site), un attaquant s'appuie généralement sur l'ingénierie sociale pour convaincre un utilisateur de cliquer sur l'URL malicieusement composée.

Pourquoi cela est dangereux en pratique

  • Si un administrateur authentifié ouvre le lien conçu, l'attaquant peut tenter d'exécuter du JavaScript qui effectue des actions dans l'interface admin (changer des options, créer un nouveau compte admin, installer un plugin, etc.) ou voler des cookies/tokens de session et les réutiliser ailleurs.
  • Même si la cible est un visiteur non authentifié, un attaquant peut utiliser cela pour afficher un contenu trompeur, mener des opérations de phishing, charger des logiciels malveillants externes ou effectuer des escroqueries ciblées.

Actions immédiates pour les propriétaires de sites (dans les heures qui suivent)

Si vous utilisez WordPress, prenez cette vulnérabilité au sérieux et suivez les étapes prioritaires ci-dessous.

  1. Inventaire et vérification de version (immédiat)
    • Connectez-vous à votre tableau de bord WordPress et confirmez si Shortcodes Blocks Creator Ultimate est installé. Notez la version installée.
    • Si vous gérez plusieurs sites, utilisez vos outils de gestion pour lister rapidement les versions de plugin sur les sites.
  2. Si vous exécutez une version vulnérable (<= 2.2.0)
    • Désactivez ou supprimez le plugin si vous n'avez pas besoin de sa fonctionnalité de manière urgente.
    • Si le plugin est essentiel et qu'aucun correctif n'est disponible, bloquez l'accès aux pages du plugin dans la zone d'administration (restreindre par IP ou utiliser des règles serveur) jusqu'à ce qu'un correctif soit disponible.
    • Si vous ne pouvez pas désactiver immédiatement le plugin, placez des règles au niveau du pare-feu d'application web pour arrêter les valeurs de paramètres suspectes. page (voir les conseils WAF ci-dessous).
  3. Appliquez un WAF / correctif virtuel (recommandé)
    • Déployez des règles WAF qui inspectent et normalisent les page paramètres et autres entrées. Bloquez les demandes contenant des modèles de charge utile XSS courants : balises script, URIs javascript:, séquences encodées suspectes et attributs d'événements HTML.
    • Si vous utilisez des services de WAF/patching virtuel gérés, activez le profil de protection pour ce plugin. Les règles gérées bloqueront de nombreuses tentatives d'exploitation automatisées et manuelles.
  4. Analysez et surveillez les indicateurs
    • Exécutez une analyse récente de logiciels malveillants sur les fichiers de votre site et la base de données. De nombreux scanners sont basés sur des signatures ou des heuristiques ; combinez plusieurs outils si possible.
    • Vérifiez les journaux d'accès et les journaux du serveur web pour des demandes suspectes qui incluent page= des caractères inhabituels ou de longues séquences encodées. Recherchez des pics dans les erreurs 400/500 autour de modèles suspects.
    • Examinez les journaux WordPress et tout journal d'audit pour des connexions administratives inattendues, la création d'utilisateurs ou des modifications de paramètres.
  5. Informez les parties prenantes et planifiez une remédiation
    • Informez les administrateurs de site, les éditeurs et les fournisseurs d'hébergement du problème et conseillez-leur d'éviter de cliquer sur des liens inattendus qui incluent page= des paramètres provenant de sources inconnues.
    • Si le site est géré par une agence ou un hébergeur, coordonnez-vous sur un calendrier de remédiation et si une atténuation temporaire (règles WAF, suppression de plugin) sera appliquée.

Règles WAF suggérées (sûres, non spécifiques)

Voici des types de règles à considérer. Évitez de bloquer le trafic légitime de manière indiscriminée — ajustez les règles et surveillez les faux positifs.

  • Bloquez ou assainissez les demandes où page le paramètre contient :
    • Brut <script ou </script> chaînes (insensible à la casse)
    • Équivalents encodés de < et > plus le contexte du script (par exemple, séquences encodées en pourcentage ou entités HTML encodées qui se décodent en 5. ou onerror=)
    • JavaScript : URI ou protocoles URL suspects dans les paramètres
    • Gestionnaires d'événements HTML tels que onload=, onclick=, onerror=, etc.
  • Normalisez d'abord les entrées : rejetez les encodages non-UTF-8 ou les séquences de caractères non autorisées.
  • Limitez le taux des demandes répétées avec des charges utiles inhabituelles provenant de la même adresse IP.
  • Pour les pages administratives, restreignez l'accès aux plages d'adresses IP administratives connues ou exigez une authentification à deux facteurs pour l'accès administrateur.

Si vous disposez d'une capacité de patching virtuel géré (WP-Firewall fournit cela), activez l'ensemble de règles spécifique à la vulnérabilité du plugin pour bloquer les modèles d'exploitation connus pendant que vous recherchez une solution permanente.

Détection : Que rechercher dans les journaux et le comportement du site

Si vous soupçonnez une exploitation, effectuez les vérifications suivantes.

  1. Journaux d'accès web
    • Recherchez des demandes vers des points de terminaison administratifs ou de plugin avec page= dans la chaîne de requête contenant <, >, scénario, une erreur, JavaScript :, ou des séquences encodées suspectes.
    • Notez les heures, adresses IP, User-Agents et référents pour les demandes suspectes.
  2. Journaux d'utilisateurs et d'activités WordPress
    • Recherchez des connexions administratives inattendues (surtout depuis de nouvelles adresses IP) autour des horodatages suspects page demandes de paramètres.
    • Vérifiez la présence de nouveaux utilisateurs avec des privilèges d'administrateur, des modifications des e-mails des utilisateurs administrateurs existants, ou des modifications des fichiers de plugin/thème.
  3. Système de fichiers et base de données
    • Scannez le système de fichiers à la recherche de fichiers PHP nouvellement ajoutés dans les répertoires uploads ou plugins.
    • Recherchez dans la base de données un contenu inattendu dans les options, les publications ou les métadonnées utilisateur contenant des scripts injectés.
  4. Indicateurs de compromission
    • Redirections inattendues du site vers des domaines externes.
    • Popups ou dialogues forcés dans le navigateur lors de la visite du site (qui n'ont pas été ajoutés intentionnellement).
    • Modifications des fichiers .htaccess, index.php ou wp-config.php.

Si vous trouvez des preuves de compromission, isolez le site (mettez-le hors ligne ou placez-le en mode maintenance), conservez les journaux pour enquête et procédez à une réponse complète à l'incident (voir la liste de contrôle de réponse à l'incident ci-dessous).

Liste de contrôle en cas d'incident (si vous soupçonnez une exploitation)

  1. Préserver les preuves
    • Prenez un instantané du disque et stockez les journaux en toute sécurité.
    • Exportez les journaux d'accès du serveur web, les journaux de débogage WordPress et les sauvegardes de la base de données.
  2. Quarantaine
    • Mettez le site en mode maintenance et bloquez l'accès public pendant que vous enquêtez.
    • Si possible, bloquez les IP suspectes au niveau du pare-feu.
  3. Nettoyez et remédiez
    • Supprimer ou mettre à jour le plugin vulnérable.
    • Scannez et supprimez toutes les web shells, portes dérobées ou codes malveillants insérés dans les fichiers de thème/plugin.
    • Faites tourner tous les mots de passe administratifs et les clés API utilisés par WordPress, FTP/SFTP, base de données et panneau de contrôle d'hébergement.
    • Révoquez toutes les identifiants compromis et réémettez-en de nouveaux, appliquez des mots de passe forts et une authentification à deux facteurs.
  4. Restaurez à partir d'une sauvegarde propre (si nécessaire).
    • Si l'intégrité du site est incertaine, restaurez à partir d'une sauvegarde propre connue prise avant la compromission.
    • Appliquez la leçon apprise : renforcez le site restauré, assurez-vous que les plugins sont mis à jour ou supprimés, et activez un WAF.
  5. Post-incident
    • Effectuez un scan de vulnérabilité complet sur tous les plugins et thèmes.
    • Activez la surveillance continue et les alertes pour détecter des tentatives similaires à l'avenir.

Renforcement et atténuations à long terme

Les vulnérabilités XSS réfléchies sont résolues au niveau du code en validant et en échappant correctement la sortie. En tant que propriétaire de site, vous avez également des options défensives :

  • Moindre privilège pour les administrateurs
    • Limitez le nombre de comptes administratifs et ne donnez des droits d'administrateur qu'au personnel nécessaire.
    • Utilisez des comptes uniques pour les éditeurs et les auteurs ; évitez d'utiliser les mêmes identifiants sur plusieurs systèmes.
  • Authentification forte
    • Appliquez l'authentification à deux facteurs (2FA) pour tous les comptes administratifs.
    • Supprimez les comptes par défaut et exigez des mots de passe forts.
  • Gestion régulière des correctifs et des inventaires
    • Tenez un inventaire à jour des plugins et thèmes installés et de leurs versions.
    • Corrigez les plugins et thèmes dès que des mises à jour du fournisseur sont disponibles.
    • Lorsqu'un auteur de plugin ne répond pas et que le plugin est critique, envisagez de le remplacer par une alternative activement maintenue.
  • Politique de sécurité du contenu (CSP)
    • Mettez en œuvre une CSP pour réduire l'impact des XSS en restreignant les sources de scripts et en interdisant les scripts en ligne lorsque cela est pratique. La CSP est une défense efficace de deuxième couche mais doit être planifiée et testée soigneusement pour éviter de casser la fonctionnalité du site.
  • Renforcement du serveur et moindre privilège pour les services
    • Limitez les permissions d'écriture de fichiers et assurez-vous que les téléchargements de fichiers PHP sont soigneusement contrôlés.
    • Utilisez des identifiants séparés pour la base de données et l'administration WordPress.
  • WAF de couche application
    • Maintenez un WAF avec des mises à jour de règles vigilantes. Le patching virtuel garde les sites protégés pendant que vous attendez les corrections du fournisseur.

Divulgation responsable et coordination des fournisseurs

Lorsqu'une vulnérabilité comme celle-ci est signalée, les meilleures pratiques de divulgation responsable sont :

  • Signalez le problème à l'auteur du plugin avec des étapes de reproduction claires et un calendrier pour la divulgation publique.
  • Si aucun correctif rapide n'est disponible, publiez un avis avertissant les propriétaires de sites du problème et fournissez des conseils d'atténuation (comme nous le faisons ici).
  • Partagez un CVE pour le suivi (ce problème a le CVE‑2024‑12166).
  • Encouragez les mainteneurs de plugins à mettre en œuvre une gestion sécurisée des entrées : validez les entrées, utilisez les fonctions d'échappement de WordPress (esc_html, esc_attr, esc_url) et appliquez des nonces pour les actions qui changent d'état.

En tant que fournisseur de sécurité et de WAF géré, nous soutenons la divulgation coordonnée et offrons un patching virtuel jusqu'à ce que des corrections officielles soient disponibles.

Pourquoi vous ne devriez pas ignorer les vulnérabilités de niveau moyen

Le score CVSS est une métrique utile, mais le contexte est important. Ce XSS réfléchi est classé moyen, pourtant :

  • Les scanners automatisés et les kits d'exploitation ciblent largement les modèles XSS connus — permettant une exploitation de masse même sur de petits sites.
  • Si un administrateur ou un éditeur est trompé en cliquant sur une URL conçue, un seul succès peut permettre des portes dérobées persistantes ou une élévation de privilèges.
  • Les attaquants utilisent souvent le XSS pour propager des malwares, du spam SEO, ou pour escalader vers une compromission complète du site.

Par conséquent, traitez cette vulnérabilité comme une priorité élevée pour la révision et l'atténuation sur tous les sites affectés.

Comment WP‑Firewall aide (ce que nous faisons)

Nous sommes un fournisseur de pare-feu et de sécurité WordPress. Notre approche en couches est conçue pour réduire la fenêtre d'exposition pendant que vous mettez en œuvre des corrections permanentes :

  • Patching virtuel — Nous créons et distribuons des règles WAF ciblées qui bloquent les modèles utilisés dans les exploits signalés (par exemple, des valeurs malveillantes à l'intérieur page des paramètres et des points d'entrée réfléchis similaires). Ces règles sont appliquées de manière centrale et ne nécessitent pas de modifier le code du site.
  • Politiques de pare-feu gérées — Notre ensemble de règles par défaut inclut des protections contre les techniques XSS courantes, les menaces OWASP Top 10, et la normalisation des entrées suspectes qui réduit les faux positifs.
  • Surveillance automatisée & alertes — Nous surveillons en continu les événements bloqués et les modèles de trafic suspects et fournissons des journaux exploitables afin que vous puissiez prendre des décisions de remédiation en temps opportun.
  • Analyse des logiciels malveillants — Nous scannons les fichiers et bases de données du site pour trouver des artefacts malveillants possibles souvent associés à des activités post-exploitation.
  • Support en cas d'incident — Notre équipe aide à trier les compromissions suspectées et fournit des conseils de remédiation.

Si vous recherchez une couche de protection immédiate pour réduire l'exposition pendant que vous remédiez, le patching virtuel (WAF) vous donne un temps critique — et si vous utilisez notre plan gratuit, vous obtenez des protections essentielles sans coût (détails ci-dessous).

Requêtes de détection et indicateurs pour les administrateurs de site

Utilisez les modèles de recherche suivants (ajustez à votre format de journalisation) pour trouver des requêtes suspectes. Ce sont des exemples de ce qu'il faut rechercher — pas des charges utiles d'exploitation.

  • Recherche dans le journal d'accès pour page= contenant < ou %3C (pourcentage-encodé <):
    • Requêtes où page contient <, scénario, une erreur, en charge, ou JavaScript : (insensible à la casse).
  • Vérifiez les référents pour voir si des domaines externes redirigent vers votre site avec page paramètres.
  • Recherchez dans les journaux d'audit de WordPress l'activité des administrateurs temporellement corrélée avec des comportements suspects page demandes.
  • Recherchez la création inexpliquée d'utilisateurs administrateurs, des installations de plugins inattendues ou des modifications de fichiers.

Si vous n'êtes pas sûr de la façon d'interroger vos journaux d'hébergement, demandez à votre hébergeur une copie des journaux d'accès au serveur web couvrant la période pertinente, et demandez-leur de filtrer en utilisant les modèles ci-dessus.

Exemple pratique d'étapes de mitigation sûres (réalisables par les administrateurs de site)

  1. Désactiver le plugin (Tableau de bord → Plugins → Désactiver)
  2. Si le plugin est nécessaire, appliquez une règle htaccess/nginx pour refuser les requêtes avec des paramètres de requête suspects vers le chemin du plugin — ou bloquez tout accès direct au dossier du plugin sauf pour votre(s) IP(s) administrateur(s).
  3. Mettez en œuvre une règle WAF temporaire pour assainir ou bloquer page les valeurs de paramètres contenant des caractères suspects.
  4. Effectuez une analyse complète du site pour détecter les logiciels malveillants et vérifiez s'il y a des changements inattendus dans les comptes utilisateurs ou les fichiers.
  5. Réinitialisez de force les mots de passe des administrateurs et révoquez les sessions pour tous les administrateurs depuis Utilisateurs → Tous les utilisateurs → Sessions (ou via un plugin qui gère les sessions).
  6. Si vous maintenez plusieurs sites, appliquez les mêmes étapes sur l'ensemble de votre flotte et surveillez les tentatives répétées.

Foire aux questions

Q : Si le plugin est désactivé, mon site est-il toujours à risque ?
R : En général, le risque lié à cette vulnérabilité spécifique est réduit si le plugin est complètement supprimé. Cependant, si le plugin a laissé des artefacts en arrière-plan ou si le site a déjà été exploité, vous devez toujours scanner à la recherche de fichiers ou de modifications malveillantes.

Q : Combien de temps devrais-je garder une règle WAF active ?
R : Jusqu'à ce que le fournisseur publie un correctif vérifié et que vous ayez mis à jour votre site. Gardez le correctif virtuel actif comme défense supplémentaire même après la mise à jour, pendant au moins un ou deux cycles de publication pour vous assurer qu'il n'y a pas de régressions.

Q : La politique de sécurité du contenu (CSP) atténuera-t-elle complètement les XSS ?
R : La CSP peut réduire considérablement l'impact des XSS mais nécessite une configuration correcte. La CSP est complémentaire aux corrections de code et à la protection WAF.

Inscrivez-vous à WP‑Firewall (plan gratuit) — Protégez votre site pendant que vous remédiez

Titre : Sécurisez votre site instantanément — Commencez avec WP‑Firewall Basic (Gratuit)

Chaque minute compte lorsqu'une vulnérabilité est publique. WP‑Firewall Basic (Gratuit) fournit une protection essentielle pour aider à garder votre site en sécurité pendant que vous attendez les correctifs du fournisseur ou mettez en œuvre des solutions à long terme :

  • Protection essentielle : pare-feu géré avec patching virtuel, bande passante illimitée, règles WAF, un scanner de malware et couverture pour les risques OWASP Top 10.
  • Aucun coût — conçu pour les propriétaires de sites qui souhaitent des protections de base immédiates.
  • Facile à activer : inscrivez-vous et appliquez le plan gratuit à un ou plusieurs sites WordPress en quelques minutes.

Commencez avec le plan gratuit WP‑Firewall : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si vous souhaitez un retrait automatisé de malware, un contrôle de liste blanche/noire, ou des rapports avancés, envisagez nos niveaux payants qui ajoutent un nettoyage automatisé, un contrôle IP et des rapports de sécurité mensuels.)

Réflexions finales — que faire maintenant

  1. Vérifiez votre/vos site(s) pour le plugin et la version immédiatement.
  2. Si vulnérable, retirez ou désactivez le plugin jusqu'à ce qu'un correctif du fournisseur soit disponible ou appliquez des atténuations WAF.
  3. Activez un service WAF géré/patching virtuel pour réduire l'exposition pendant que vous remédiez.
  4. Effectuez un contrôle complet du site : scan de malware, audit des utilisateurs, vérification de l'intégrité des fichiers et examen des journaux.
  5. Renforcez vos contrôles administratifs : 2FA, moins de comptes administratifs et application de mots de passe forts.

Les XSS réfléchis sont souvent sous-estimés jusqu'à ce qu'ils soient exploités dans une campagne réussie. En tant que professionnels de la sécurité WordPress, nous recommandons une défense proactive — contrôles en couches, patching opportun et patching virtuel rapide lorsque cela est approprié. Si vous souhaitez de l'aide pour évaluer l'exposition sur plusieurs sites ou si vous avez besoin d'aide pour mettre en œuvre des patchs virtuels pendant que vous recherchez des solutions permanentes, notre équipe de sécurité est disponible pour vous aider.

— Équipe de sécurité WP-Firewall

Références et lectures complémentaires

Remarque : Cet avis évite de publier des charges utiles d'exploitation. Si vous êtes un chercheur en sécurité ou un fournisseur et avez besoin de détails techniques pour des tests dans un environnement contrôlé, contactez une équipe de sécurité ou votre représentant fournisseur et suivez les pratiques de divulgation responsable.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™