Deux échecs critiques signalés ce mois-ci dans le constructeur visuel Avada Builder pour WordPress mis en danger environ un million de sites: on permet la lecture arbitraire des fichiers sur le serveur et l'autre est un injection SQL aveugle par le temps qui peuvent extraire des données sensibles. Cette conclusion a été documentée par Wordfence et diffusée à la suite des recherches de l'expert Rafie Muhammad, qui a reçu des récompenses pour les deux conclusions; l'information technique initiale est publiée par Wordfence et sert de référence pour les administrateurs et les équipes d'intervention. Wordfence explique les détails et l'enregistrement plugin et son nombre d'installations peuvent être vérifiés dans le dépôt WordPress officiel. page plugin sur WordPress.org
L'échec est CVE-2026-4782 permet à un utilisateur authentifié avec une autorisation minimale (niveau d'abonné) d'abuser des fonctionnalités de rendu de code court et le paramètre personnalisé _ svg pour lire tout fichier accessible au serveur Web. Cela signifie qu'un attaquant avec un compte faible de confiance peut récupérer des fichiers sensibles commewp-config.php, qui contient des identifiants de base de données et des clés cryptographiques. L'exposition de ce fichier facilite prise complète du site, car avec des identifiants vous pouvez grimper les privilèges, cloner la base de données ou installer des portes arrière.
La deuxième défaillance, identifiée comme CVE-2026-4798, est une injection SQL basée sur le temps qui affecte les versions jusqu'à 3.15.1 et est causée par l'inclusion directe du paramètre produit _ ordre dans la clause ORDER BY sans la préparation appropriée de la consultation. Bien que cette vulnérabilité soit exploitée sans authentification, elle a une condition importante : elle n'est utilisable que si le site utiliséWooCommerceEt puis il l'a désactivé, laissant ses tables intactes dans la base de données. Dans ce scénario, un attaquant peut extraire des hachages de mots de passe et d'autres données sensibles à l'aide de techniques d'exfiltration aveugles dans le temps.
Le rapport privé a été envoyé à Wordfence et au fournisseur de plugins fin mars; des solutions partielles et complètes ont été publiées en avril et mai: la version 3.15.2 atténue partiellement le problème et la version 3.15.3 contient le correctif complet. Mise à jour du constructeur Avada 3.15.3 est l'action immédiate et non négociable pour tous les gestionnaires de site utilisant ce plugin.
En plus de la mise à jour, les responsables doivent effectuer des actions de confinement et de vérification : vérifier les enregistrements d'accès par des modes d'exploitation à code court et les demandes au paramètre personnalisé _ svg, vérifier les comptes d'utilisateur nouvellement créés ou suspects (parce que l'accès au niveau de l'abonné est suffisant pour exploiter la lecture des fichiers) et examiner les consultations atypiques qui indiquent des tentatives d'extraction pour le temps dans la base de données. Si le site a utilisé WooCommerce et a été désactivé, il est approprié de vérifier l'intégrité et le contenu de ses tables; si ce n'est pas nécessaire, exporter et supprimer après sauvegarde peut supprimer la surface d'attaque utilisée par le SQLi.
Si vous soupçonnez une intrusion, prenez des mesures de réponse: modifier les identifiants de base de données et les clés / sels définis danswp-config.php, forcer la restauration des mots de passe de compte administratif, scanner le site pour les fichiers Web malveillants (webshells) et comparer la sauvegarde récente pour détecter les modifications. Implémenter des règles WAF qui bloquent les requêtes qui tentent d'abuser du paramètre personnalisé _ svg ou injectent des charges utiles dans ORDER BY peut atténuer les tentatives continues tout en appliquant la correction.
La prévention à moyen terme implique des politiques qui limitent l'enregistrement ouvert des utilisateurs dans les sites publics, une stratégie de privilège minimum pour les rôles WordPress et une validation stricte des paramètres de plugin tiers avant le déploiement. Le maintien d'un cycle agile et d'un cycle d'essai dans un environnement contrôlé avant le déploiement réduit la fenêtre d'exposition à des vulnérabilités semblables.
Pour les références techniques et la surveillance des QE, on peut trouver les détails publics dans la base de données nationale sur la vulnérabilité, qui contient les identifiants et les notes techniques: CVE-2026-4782 en NVD et CVE-2026-4798 en NVD. La surveillance active, les mises à jour immédiates et une intervention médico-légale rapide sont les clés pour minimiser l'impact si votre site utilise Avada Builder.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...