8 juillet 2026 · 9 min de lecture

18 failles WooCommerce critiques en juillet 2026 : la liste complète des CVE à corriger

Début juillet 2026, une veille sécurité sur l'écosystème WooCommerce/WordPress a révélé 18 vulnérabilités distinctes (CVSS ≥ 5.0) sur des extensions largement utilisées — dont 3 failles critiques notées entre 9.3 et 10.0 sur 10. Parmi elles, une attaque de supply-chain particulièrement grave : un plugin compromis directement via le canal de mise à jour officiel de son éditeur, installant une porte dérobée invisible sur chaque site l'utilisant.

Si vous utilisez un des plugins ci-dessous, l'action n'est pas optionnelle. Une CVE publiée signifie que l'exploit est déjà documenté publiquement — les attaquants automatisent le scan des sites vulnérables dans les heures qui suivent une divulgation.

Les 3 failles critiques (CVSS 9.3 à 10.0)

CVE-2026-49777 — Backdoor supply-chain sur Product Slider Pro (ShapedPlugin)

CVSS 10.0 — le score maximum possible. Révélée le 3 juin 2026, cette attaque ne passe pas par une faille de code classique : le canal de mise à jour officiel de l'éditeur ShapedPlugin a été compromis. Le loader malveillant se déclenche sur chaque page d'administration, installe un faux plugin caché, vole les identifiants et les codes 2FA en clair, puis s'auto-efface pour ne laisser aucune trace. La même campagne touche aussi Real Testimonials Pro et Smart Post Show Pro, du même éditeur. Corrigé en version 3.5.4 — mais si votre site a été compromis avant la mise à jour, changer tous les mots de passe et codes 2FA est indispensable, la mise à jour seule ne suffit pas.

CVE-2026-54825 et CVE-2026-49080 — Injections SQL non authentifiées sur wpDataTables

CVSS 9.3 chacune. wpDataTables équipe plus de 70 000 sites pour afficher des tableaux de données — souvent des listes de produits ou de commandes sur les boutiques WooCommerce. Ces deux failles distinctes permettent une injection SQL sans authentification, c'est-à-dire exploitable par n'importe quel visiteur anonyme. Corrigées en version 7.4.1.

CVE-2026-11387 et CVE-2026-27542 — Prise de contrôle de compte (CVSS 9.8)

Sur SMS Alert – SMS & OTP for WooCommerce, une condition de course lors de la réinitialisation du mot de passe par OTP permet une escalade de privilèges (corrigé en 3.9.6). Sur WooCommerce Wholesale Lead Capture, une escalade de privilèges non authentifiée permet la prise de contrôle d'un compte administrateur (corrigé en 1.17.9).

Les 18 CVE recensées début juillet 2026

PluginCVSSType de failleVersion corrigée
Product Slider Pro (ShapedPlugin)10.0Backdoor supply-chain3.5.4
SMS Alert – SMS & OTP for WooCommerce9.8Prise de contrôle de compte3.9.6
WooCommerce Wholesale Lead Capture9.8Escalade de privilèges1.17.9
wpDataTables (faille 1)9.3Injection SQL non authentifiée7.4.1
wpDataTables (faille 2)9.3Injection SQL non authentifiée7.4.1
APIExperts Square for WooCommerce8.5Injection SQL aveugle4.7.2
WooCommerce PayPal Payments8.2Manipulation de commandes4.0.2
MainWP Child7.5Contrôle d'accès défaillant6.1.2
WooCommerce (cœur)7.5CSRF — création compte admin10.5.3
Advanced Order Export For WooCommerce7.1XSS stocké4.0.10
Registration Form for WooCommerceCritical*Escalade de privilèges1.1.0
WooCommerce Stripe Payment Gateway6.5Manipulation statut commande10.8.0
WooPayments6.5Modification réglages10.6.0
YITH WooCommerce Wishlist6.5Renommage non authentifié4.13.0
GetGenie6.5Exposition de données4.4.2
Photo Gallery by FooGallery6.4XSS stocké3.1.32
Subscriptions for WooCommerce5.3Annulation non autorisée1.9.3
Permalink Manager Lite~5-6*XSS stocké2.5.3.4

* Score qualitatif de la source, CVSS exact non confirmé au moment de la publication.

Pourquoi ces failles touchent aussi les petites boutiques

L'idée reçue selon laquelle « personne ne cible mon petit site » ne tient pas face à ce type de vulnérabilité. Ces attaques sont automatisées : un attaquant scanne des millions de sites WordPress à la recherche de la signature d'un plugin vulnérable, sans distinction de taille ou de notoriété. Un site avec 50 visites par jour est scanné exactement comme un site avec 50 000.

Le cas ShapedPlugin illustre un risque encore plus insidieux : même en appliquant scrupuleusement toutes les mises à jour, une boutique peut être compromise via son propre outil de mise à jour, sans qu'aucune action de l'administrateur n'ait été fautive.

Checklist d'action immédiate

  1. Listez vos plugins actifs et comparez-les au tableau ci-dessus.
  2. Mettez à jour immédiatement tout plugin concerné vers la version corrigée.
  3. Si vous utilisez un produit ShapedPlugin : changez tous les mots de passe et codes 2FA, ne vous contentez pas de la mise à jour.
  4. Vérifiez les comptes administrateur de votre site — recherchez tout compte créé que vous ne reconnaissez pas.
  5. Activez les mises à jour automatiques pour les plugins critiques quand c'est possible.
  6. Passez en revue vos logs d'activité WooCommerce des 30 derniers jours si l'un des plugins concernés est ou a été installé.

🔍 Votre site utilise-t-il un de ces plugins vulnérables ?

Notre audit détecte automatiquement les versions de plugins exposées, les en-têtes de sécurité manquants et les signaux de compromission — avec un rapport PDF et un plan d'action priorisé livré par email.

🔍 Auditer mon site maintenant

Articles connexes

← Retour au blog