Gravity Forms, faille critique exécution de code à distance

Résumer cet article avec votre IA préférée

Ça commence souvent pareil. Un formulaire en ligne, anodin. Un champ d’upload pour joindre un document. Et puis, sans prévenir, un site WordPress qui se fait retourner comme une crêpe.
La CVE-2025-13407, récemment rendue publique, touche Gravity Forms, l’un des plugins de formulaires les plus installés sur WordPress. Le problème ? Une faille permettant à un attaquant non authentifié de téléverser un fichier malveillant… puis de l’exécuter.

Oui, à distance. Oui, sans compte.
Et non, ce n’est pas théorique.

👉 Votre site utilise Gravity Forms ?
Alors il ne faut pas traîner.

Gravity Forms, un plugin très exposé

Gravity Forms, c’est un peu le couteau suisse des formulaires WordPress. Je l’ai vu installé sur des sites vitrines, des boutiques, des plateformes métiers, parfois même des intranets bricolés un peu vite.

On s’en sert pour :

des formulaires de contact évolués
des paiements
des dépôts de fichiers
des parcours multi-étapes assez costauds

Le souci, c’est précisément cette polyvalence. Plus un plugin est utilisé, plus il attire l’attention. Et quand une fonctionnalité est accessible publiquement — comme l’upload de fichiers — la surface d’attaque grimpe très vite.

Un plugin répandu, mal corrigé, c’est un appel d’air. Les bots adorent.

Ce que cache la CVE-2025-13407

Sur le papier, la faille est classée Unrestricted Upload of File with Dangerous Type, référencée CWE-434. Dit autrement : Gravity Forms ne filtre pas correctement certains fichiers lors d’un téléversement spécifique.

Versions concernées

🔴 Gravity Forms inférieur à 2.9.23.1
🟢 Gravity Forms 2.9.23.1 et plus

Pas d’entre-deux. Si vous êtes en dessous, le site est vulnérable.

Comment l’attaque fonctionne, concrètement

Le point faible se situe dans le système de téléversement fractionné (chunked upload). Une option pratique. Trop permissive, en l’occurrence.

Scénario classique, vu et revu ces dernières années :

l’attaquant repère un formulaire public avec un champ d’upload multi-fichiers
il contourne les contrôles sur l’extension
il envoie un fichier PHP déguisé
il retrouve le fichier dans le dossier de stockage
il l’appelle directement depuis le navigateur

Et là, c’est terminé.
Exécution de code à distance. Sans authentification. Le genre de faille que les scanners automatisés exploitent en boucle.

Franchement ? C’est le type de bug qui ne pardonne pas.

Conséquences possibles pour un site WordPress

Une fois exploité, ce genre de faille peut mener très loin. Trop loin.

J’ai déjà vu, chez un client, un simple formulaire détourné en point d’entrée pour :

une prise de contrôle complète du site
l’installation de backdoors discrètes
l’exfiltration de données
l’injection de malware servant à d’autres attaques
un blacklistage pur et simple par Google

Le plus vicieux ? Ça peut rester invisible pendant des semaines.
Et pendant ce temps, le site sert de relais.

Ce qu’il faut faire, sans tergiverser

Si Gravity Forms est installé chez vous, voilà ce que je ferais, dans cet ordre :

mise à jour immédiate vers la version 2.9.23.1 ou supérieure
inspection du dossier /wp-content/uploads/gravity_forms/
suppression de tout fichier PHP suspect
revue des formulaires avec upload actif
renforcement global de la sécurité WordPress

Une mise à jour, ça prend cinq minutes.
Une compromission, beaucoup plus.

Pourquoi la maintenance WordPress n’est pas un luxe

Les failles comme la CVE-2025-13407 ne restent jamais longtemps confidentielles. Elles apparaissent sur les bases CVE, WPScan, et sont intégrées dans des scripts d’attaque automatisés presque aussitôt.

Sans suivi :

les mises à jour passent à la trappe
les failles connues restent ouvertes
les attaques ne sont détectées qu’après coup

Et là, c’est souvent trop tard.

Maintenance et sécurité WordPress : notre approche

Notre offre de maintenance est pensée pour éviter exactement ce scénario. Pas de promesses creuses, juste du suivi réel.

On s’occupe notamment de :

la veille sur les vulnérabilités WordPress
les mises à jour contrôlées des plugins et thèmes
des audits réguliers
la détection et le nettoyage de malware
des sauvegardes automatiques
un support réactif, humain, joignable

👉 Si vous préférez dormir tranquille plutôt que gérer une urgence un dimanche soir, on peut en parler.

Parce qu’au fond, la vraie question reste la même :
attendre l’incident… ou l’éviter ?

🔒 Votre site WordPress a été piraté ? Intervention d’urgence !

Un site piraté peut paralyser votre activité et nuire à votre réputation. L’équipe WP Assistance intervient en urgence pour remettre votre site en service rapidement et sécuriser votre installation :

🚨 Audit de sécurité gratuit
⚡ Remise en service sous 2h
🛡️ Renforcement de la sécurité
💯 Satisfait ou remboursé

🎁 Intervention offerte si maintenance du site 🎁

🆘 Intervention d’urgence – Demander un audit gratuit

📞 Urgence téléphone
06 44 66 00 98

✉️ Contact email
contact@wp-assistance.fr

⭐ 4,8/5 satisfaction client sur Trustpilot

Nos experts sécurisent votre site WordPress depuis plus de 10 ans.