Des hackers exploitent deux failles dans le plugin Avada Builder pour WordPress. Ce plugin compte un million d’installations actives. Les attaquants lisent des fichiers arbitraires et extraient des données sensibles de la base de données.
La première faille porte le numéro CVE-2026-4782. Elle touche toutes les versions du plugin jusqu’à la 3.15.2. Un utilisateur authentifié avec un accès au niveau abonné lit le contenu de n’importe quel fichier sur le serveur.
La seconde faille répond au numéro CVE-2026-4798. Elle s’agit d’une injection SQL aveugle temporelle. Les attaquants l’exploitent sans authentification. L’exploitation réussit seulement si le plugin WooCommerce pour le e-commerce sur WordPress reste activé puis désactivé. Les tables de base de données de WooCommerce doivent subsister intactes.
Avada Builder sert de constructeur de pages par glisser-déposer pour le thème Avada de WordPress. Les utilisateurs créent et personnalisent les mises en page, sections de contenu et éléments de design sans coder.
Le chercheur en sécurité Rafie Muhammad découvre les deux failles. Il les signale via le programme de chasse aux bugs Wordfence Bug Bounty Program. Il reçoit 3 386 dollars pour la première et 1 067 dollars pour la seconde.
Wordfence précise que la lecture de fichiers arbitraires passe par la fonctionnalité de rendu de shortcodes du plugin et le paramètre custom_svg. Le plugin valide mal les types de fichiers et les sources. Les attaquants accèdent ainsi à des fichiers sensibles comme wp-config.php. Ce fichier renferme les credentials de la base de données et les clés cryptographiques.
L’accès à wp-config.php compromet un compte administrateur. Les attaquants prennent le contrôle total du site.
La faille obtient une note de gravité moyenne car elle exige un accès abonné. Pourtant, de nombreux sites WordPress proposent l’inscription d’utilisateurs. Cette condition ne bloque pas les attaques.
La faille CVE-2026-4798 touche les versions d’Avada Builder jusqu’à la 3.15.1. Le paramètre product_order, contrôlé par l’utilisateur, s’insère dans une clause ORDER BY d’une requête SQL sans préparation adéquate.
Les attaquants non authentifiés extraient des informations sensibles de la base de données du site, y compris les hachages de mots de passe.
Wordfence reçoit les failles le 21 mars. L’équipe informe l’éditeur d’Avada Builder le 24 mars. La version 3.15.2 corrige partiellement les problèmes le 13 avril. La version 3.15.3 les répare entièrement le 12 mai.