Vulnérabilités critiques dans le plugin Avada Builder exposant les sites WordPress au vol de données
Deux vulnérabilités importantes ont été découvertes dans le plugin **Avada Builder** pour **WordPress**, affectant potentiellement plus d'un million d'installations actives. Ces failles pourraient permettre aux attaquants de lire des fichiers arbitraires et d'extraire des informations sensibles des bases de données affectées.
### Lecture de fichiers arbitraires (CVE-2026-4782)
Une vulnérabilité critique de lecture de fichiers arbitraires, identifiée sous la référence **CVE-2026-4782**, affecte les versions du plugin **Avada Builder** jusqu'à la version 3.15.2. Les utilisateurs authentifiés ayant au moins un accès de niveau abonné peuvent exploiter cette faille pour lire le contenu de n'importe quel fichier sur le serveur. Cette vulnérabilité découle d'une validation incorrecte des types et des sources de fichiers au sein de la fonctionnalité de rendu des shortcodes du plugin, plus précisément le paramètre `custom_svg`, comme détaillé par **Wordfence**.
L'accès à des fichiers sensibles tels que `wp-config.php`, qui contient les identifiants de la base de données et les clés cryptographiques, peut entraîner un compromis complet du site.
### Injection SQL (CVE-2026-4798)
Une autre vulnérabilité grave, **CVE-2026-4798**, est une faille d'injection SQL aveugle basée sur le temps affectant les versions d'**Avada Builder** jusqu'à la version 3.15.1. Cette vulnérabilité peut être exploitée sans authentification dans des conditions spécifiques : le plugin e-commerce **WooCommerce** doit avoir été activé puis désactivé, laissant ses tables de base de données intactes.
Les attaquants peuvent exploiter cette faille en injectant du code malveillant dans le paramètre `product_order`, qui est ensuite inséré dans une clause SQL `ORDER BY` sans préparation adéquate de la requête. Une exploitation réussie permet l'extraction d'informations sensibles de la base de données du site, y compris des hachages de mots de passe.
### Découverte et Remédiation
Le chercheur en sécurité Rafie Muhammad a découvert les deux vulnérabilités via le **Wordfence** Bug Bounty Program. Les problèmes ont été signalés à **Wordfence** le 21 mars, puis à l'éditeur d'**Avada Builder** le 24 mars.
Une correction partielle a été implémentée dans la version 3.15.2, publiée le 13 avril. Un correctif complet a été livré avec la version 3.15.3, publiée le 12 mai.
### Recommandation
Il est fortement conseillé aux propriétaires et administrateurs de sites web utilisant le plugin **Avada Builder** de mettre à jour vers la version 3.15.3 immédiatement afin d'atténuer ces risques de sécurité critiques.
## The Validation Gap: Les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.
Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon.
Ce guide couvre les 6 surfaces que vous devez réellement valider.
[Télécharger maintenant](https://hubs.li/Q048zztN0)