Vulnérabilités Avada Builder : Mettez à jour votre site

Deux vulnérabilités ont été découvertes dans le plugin WordPress Avada Builder, affectant selon les estimations environ un million d'installations actives, d'après BleepingComputer. Les propriétaires de sites utilisant ce plugin sont invités à le mettre à jour immédiatement.

Que s'est-il passé ?

Selon BleepingComputer, deux failles de sécurité ont été identifiées dans le plugin Avada Builder. Toutes deux sont susceptibles de causer des dommages graves à votre site.

La première faille, référencée CVE-2026-4782, permettrait à un utilisateur connecté disposant d'un accès de base (comme un compte abonné) de lire des fichiers sur votre serveur qui devraient rester privés. Cela inclut un fichier appelé wp-config.php, qui contient vos identifiants de base de données et vos clés de sécurité. L'accès à ce fichier pourrait permettre à un attaquant de prendre le contrôle total de votre site.

La seconde faille, référencée CVE-2026-4798, serait une vulnérabilité d'injection SQL. Cela signifie qu'un attaquant n'étant même pas connecté pourrait potentiellement extraire des informations sensibles de votre base de données, notamment des hachages de mots de passe. Selon BleepingComputer, cette faille ne s'applique que si vous aviez précédemment installé le plugin WooCommerce puis l'aviez désactivé, ses tables de base de données étant toujours en place.

Qu'est-ce qui a été corrigé ?

Selon BleepingComputer, un correctif partiel a été publié dans la version 3.15.2 le 13 avril. Une version entièrement corrigée, la 3.15.3, a suivi le 12 mai. Les propriétaires de sites sont invités à mettre à jour vers la version 3.15.3 dès que possible.

Si vous ne savez pas comment mettre à jour un plugin, notre guide de sécurité pour les petites entreprises vous accompagne étape par étape. Vous pouvez également consulter notre guide sur les plugins WordPress vulnérables pour comprendre comment protéger votre site à l'avenir.

Qu'est-ce que cela signifie pour votre site ?

Si votre site utilise le plugin Avada Builder, consultez dès maintenant votre tableau de bord WordPress et vérifiez que vous utilisez la version 3.15.3 ou une version ultérieure. Laisser un plugin obsolète en place, même brièvement, peut exposer les données de vos clients et offrir aux attaquants un point d'entrée vers votre site. En France, les données clients constituent des données personnelles au sens du RGPD et de la Loi Informatique et Libertés : une compromission pourrait vous obliger à notifier la CNIL en cas de violation de données. Maintenir ses plugins à jour est l'une des mesures les plus simples et les plus efficaces pour protéger votre activité en ligne.