Vulnérabilité de téléchargement de fichiers arbitraires dans Unlimited Elements//Publié le 2026-04-19//CVE-2026-4659

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Unlimited Elements For Elementor Vulnerability

Nom du plugin Éléments Illimités Pour Elementor
Type de vulnérabilité Téléchargement de fichiers arbitraires
Numéro CVE CVE-2026-4659
Urgence Moyen
Date de publication du CVE 2026-04-19
URL source CVE-2026-4659

CVE-2026-4659 : Téléchargement de fichiers arbitraires dans ‘Unlimited Elements For Elementor’ — Ce que chaque propriétaire de WordPress doit faire maintenant

Une analyse experte de la vulnérabilité de traversée de chemin authentifiée dans Unlimited Elements For Elementor (<= 2.0.6). Ce que c'est, pourquoi c'est dangereux, comment les attaquants peuvent en abuser, comment détecter l'exploitation et comment atténuer rapidement et en toute sécurité le risque — y compris une approche pratique de WP-Firewall.

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-04-18
Mots clés: Sécurité WordPress, Vulnérabilité, WAF, Sécurité des plugins, Réponse aux incidents

Note: Cet article est destiné aux propriétaires de sites, développeurs et hébergeurs gérant des sites WordPress. Il fournit uniquement des détails techniques de haut niveau et des conseils défensifs. Il ne fournit pas de code d'exploitation ni d'instructions offensives étape par étape.

Résumé exécutif

Une vulnérabilité récemment divulguée (CVE-2026-4659) dans le plugin WordPress “Unlimited Elements For Elementor” (versions jusqu'à et y compris 2.0.6) permet à un utilisateur authentifié avec des privilèges de Contributeur (ou supérieurs) d'effectuer des lectures de fichiers arbitraires via une traversée de chemin dans certains points de terminaison d'URL CSV/JSON/répéteur. Le développeur du plugin a publié un correctif (version 2.0.7) pour résoudre le problème. La vulnérabilité est classée avec une gravité équivalente à CVSS de 7.5 et catégorisée comme téléchargement de fichiers arbitraires / contrôle d'accès défaillant.

Pourquoi c'est important :

  • Les contributeurs sont courants sur les sites multi-auteurs, les sites d'adhésion, les LMS, les agences et les sites qui acceptent du contenu de rédacteurs externes.
  • La lecture de fichiers arbitraires peut divulguer des fichiers sensibles (wp-config.php, archives de sauvegarde, fichiers d'environnement, fichiers .env, téléchargements privés) et des identifiants.
  • Les attaquants combinent souvent la lecture de fichiers avec d'autres techniques pour escalader l'accès, pivoter ou récolter des identifiants pour des campagnes de compromission de masse.

Si votre site utilise ce plugin (<= 2.0.6), vous devez agir immédiatement : appliquez la mise à jour officielle, ou si vous ne pouvez pas mettre à jour tout de suite, mettez en œuvre les atténuations et la surveillance décrites ci-dessous.

Ce qu'est la vulnérabilité — langage simple

Le plugin expose des points de terminaison qui acceptent un paramètre d'URL destiné à récupérer du contenu JSON ou CSV pour une utilisation par des répéteurs ou des sources de données distantes. Une validation et une désinfection incorrectes de ce paramètre ont permis l'utilisation de séquences de traversée de chemin (par exemple ../ ou équivalents encodés), permettant à un utilisateur authentifié mais de moindre privilège de lire des fichiers arbitraires sur le serveur web.

Points essentiels :

  • L'attaquant doit être authentifié sur le site WordPress avec au moins des privilèges de Contributeur (c'est-à-dire, pas public/anonyme).
  • La fonctionnalité vulnérable ne vérifie pas suffisamment que les ressources demandées se trouvent dans un répertoire autorisé ou n'applique pas correctement les vérifications de capacité.
  • Les attaquants peuvent créer des requêtes pour récupérer des fichiers en dehors du répertoire prévu, pouvant potentiellement lire n'importe quel fichier auquel l'utilisateur du serveur web peut accéder.

Résumé technique (non-exploitant)

  • Cible : Plugin Unlimited Elements For Elementor, versions <= 2.0.6
  • Classe de vulnérabilité : Traversée de chemin menant à la lecture de fichiers arbitraires (Contrôle d'accès défaillant)
  • Privilège requis : Contributeur (authentifié)
  • Impact : Divulgation de fichiers arbitraires lisibles par l'utilisateur du serveur web — peut inclure des fichiers de configuration, des sauvegardes, des exports de base de données, des fichiers d'environnement, des téléchargements privés, des jetons et d'autres artefacts sensibles.
  • Version corrigée : 2.0.7

Le risque est moyen à élevé car le niveau d'authentification requis est faible (Contributeur) et l'impact (fuite d'identifiants, exposition de données) peut être sévère. Les attaquants qui ont déjà des comptes de Contributeur — ou qui peuvent s'inscrire et être élevés, ou exploiter d'autres flux de création de comptes — peuvent en abuser.

Qui devrait s'inquiéter ?

  • Sites WordPress exécutant le plugin Unlimited Elements For Elementor à <= 2.0.6.
  • Sites permettant des contributeurs de contenu tiers, des auteurs invités ou des flux de travail multi-auteurs.
  • Agences et hôtes gérant les sites des clients où des contributeurs existent.
  • Sites qui stockent des sauvegardes, des fichiers de configuration ou des secrets dans la racine du document ou autrement lisibles par le serveur web.

Comment les attaquants peuvent utiliser cette vulnérabilité

Les attaquants qui peuvent s'authentifier en tant que contributeur peuvent :

  • Lire wp-config.php pour obtenir les identifiants de la base de données.
  • Récupérer des sauvegardes ou des fichiers exportés laissés dans des emplacements accessibles par le web (par exemple, /wp-content/uploads/backups.zip).
  • Vérifier la présence de clés privées, de jetons API ou d'identifiants SMTP dans les fichiers.
  • Énumérer les répertoires côté serveur et les fichiers sensibles pour trouver d'autres artefacts exploitables.
  • Combiner les identifiants divulgués avec d'autres vecteurs pour obtenir un accès administrateur ou extraire le contenu de la base de données.

Même sans élévation, la divulgation d'emails, de données clients ou de contenu propriétaire peut être dommageable.

Détection — indicateurs de compromission et journaux à surveiller

Si vous soupçonnez des tentatives ou une exploitation, recherchez les signes suivants dans les journaux d'accès, les journaux d'application et les journaux d'activité WordPress :

  • Requêtes HTTP GET/POST vers des points de terminaison de plugin (points de terminaison repeater/JSON/CSV) contenant des paramètres suspects comme :
    • ../
    • (URL encoded ../)
    • séquences tentant de naviguer en dehors des répertoires autorisés
    • longs paramètres ‘url’ pointant vers des chemins de fichiers locaux (par exemple, /etc/passwd, wp-config.php, /home/)
  • Requêtes provenant de comptes authentifiés (rôle de contributeur ou équivalent) effectuant de nombreuses tentatives de lecture de fichiers.
  • Réponses 200 inattendues servant un contenu qui semble contenir une configuration côté serveur (code php, SQL, variables d'environnement) plutôt que JSON/CSV.
  • Téléchargements soudains de fichiers depuis des chemins en dehors des ressources habituelles des plugins.
  • Nombre élevé de téléchargements de fichiers .sql, .zip, .bak, .env, .sql.gz ou de fichiers de configuration.

Vérifiez les journaux d'audit/activité de WordPress pour les comptes de contributeurs effectuant des demandes en dehors des comportements normaux. Si vous utilisez un plugin de sécurité ou de surveillance, recherchez des modèles inhabituels de demandes paramétrées répétées vers les points de terminaison du plugin.

Liste de contrôle de réponse immédiate (premières 24 à 72 heures)

  1. Mettre à jour le plugin
    • Appliquez la mise à jour officielle à Unlimited Elements For Elementor et confirmez que la version du plugin est 2.0.7 ou ultérieure. C'est la correction principale.
  2. Si vous ne pouvez pas mettre à jour immédiatement
    • Désactivez temporairement le plugin ou désactivez la fonctionnalité spécifique (récupération JSON/CSV/répétiteur à distance) si une option existe.
    • Supprimez le plugin de la production si la fonctionnalité n'est pas critique.
  3. Bloquez la surface d'attaque au niveau web/app (patching virtuel)
    • Ajoutez des règles WAF temporaires pour bloquer les demandes avec des modèles de traversée et des noms de fichiers suspects.
    • Refuser l'accès aux points de terminaison utilisés par le plugin pour le chargement JSON/CSV par des utilisateurs non administrateurs.
    • Block GET/POST requests containing sequences like ../ or in the query string.
  4. Auditez les comptes et faites tourner les secrets
    • Examinez les utilisateurs avec des rôles de contributeur (et supérieurs). Supprimez ou limitez les comptes suspects.
    • Changez les mots de passe de la base de données et toutes les informations d'identification API stockées dans des fichiers si vous soupçonnez qu'elles ont pu être lues.
    • Changez toutes les informations d'identification divulguées trouvées dans les journaux ou signalées par le site.
  5. Scannez et enquêtez
    • Exécutez une analyse de malware et d'intégrité des fichiers du site et du système de fichiers d'hébergement.
    • Vérifiez les journaux du serveur web pour des téléchargements suspects dans la période précédant le patch.
    • Si vous trouvez des preuves d'exfiltration de données, suivez les procédures de réponse aux incidents et informez les parties prenantes si nécessaire.

Atténuations recommandées pour le serveur web/WAF (suggestions pratiques)

Voici des règles et configurations défensives que vous pouvez mettre en œuvre immédiatement. Elles sont indépendantes du fournisseur et destinées aux WAF, proxys inverses ou ensembles de règles de serveur web.

  • Bloquez les jetons de traversée de chemin dans les chaînes de requête et les corps de demande :
    • Deny requests that contain “../” or encoded equivalents (, 2e2e, etc.)
  • Bloquer l'accès direct aux fichiers sensibles (refuser toute demande correspondante) :
    • wp-config.php, .env, .git, .sql, .bak, .zip, .tar, .tgz, .pem, .key
  • Restreindre les points de terminaison des plugins par rôle :
    • Si le plugin expose un point de terminaison comme /wp-json/ue/v1/data ou similaire, bloquer ou exiger des capacités d'administrateur pour ces points de terminaison.
  • Valider les origines des demandes :
    • S'assurer que les points de terminaison utilisés pour la récupération interne nécessitent des nonces valides ou des sessions administratives authentifiées.
  • Limiter le taux des points de terminaison suspects :
    • Limiter les demandes à haute fréquence vers les points de terminaison de récupération CSV/JSON pour arrêter l'énumération.

Exemple (Apache/mod_rewrite) — un exemple pour bloquer les séquences de traversée évidentes (placer dans .htaccess à la racine du site). Remarque : tester soigneusement dans un environnement de mise en scène avant d'appliquer :

# Block common path traversal patterns in query string

RewriteEngine On

# Deny requests containing ../ or encoded variants
RewriteCond %{QUERY_STRING} (\.\./|\\) [NC,OR]
RewriteCond %{REQUEST_URI} (\.\./|\\) [NC]
RewriteRule .* - [F,L]

Exemple Nginx (ajouter au bloc serveur) :

# Block path traversal sequences
if ($request_uri ~* "\.\./" ) {
 return 403;
}
if ($query_string ~* "(|2e2e)" ) {
 return 403;
}

Ce sont des atténuations temporaires et non des substituts au correctif du plugin. Soyez prudent et testez en mise en scène avant la production.

Recommandations de durcissement (post-incident / à long terme)

  1. Principe du moindre privilège pour les rôles d'utilisateur
    • Réévaluer la nécessité des autorisations de niveau Contributeur. Limiter les capacités de téléchargement ou liées aux fichiers pour les utilisateurs à faible privilège.
    • Envisager d'utiliser des plugins de gestion des rôles pour supprimer les capacités inutiles du rôle de Contributeur (par exemple, interdire upload_files si ce n'est pas nécessaire).
  2. Supprimer les fichiers sensibles des chemins accessibles sur le web
    • Déplacer les sauvegardes et les exports hors de wp-content/uploads ou de tout répertoire racine web. Utiliser un stockage non public (SFTP, stockage cloud avec contrôle d'accès approprié).
    • S'assurer que les sauvegardes de base de données ou les feuilles de calcul exportées ne sont jamais stockées dans des répertoires accessibles au public.
  3. Permissions de fichier sécurisées
    • S'assurer que des fichiers comme wp-config.php ne sont pas lisibles par tous lorsque cela est possible. Permissions typiques :
      • Fichiers: 644
      • Répertoires : 755
      • wp-config.php : 600 ou 640 (selon l'hébergement)
    • Consultez votre hébergeur pour les meilleures pratiques strictes en matière de permissions de fichiers pour les environnements partagés vs dédiés.
  4. Protéger les points de terminaison sensibles
    • Limitez l'accès à wp-admin et à d'autres points de terminaison administratifs par IP lorsque cela est possible.
    • Exiger l'authentification à deux facteurs pour tous les utilisateurs administrateurs.
  5. Sécurité du contenu
    • Nettoyez et validez toutes les URL ou chemins de fichiers fournis par l'utilisateur dans le code personnalisé.
    • Pour les plugins personnalisés : utilisez realpath() et vérifiez que le chemin de fichier demandé se trouve dans un répertoire autorisé avant de servir le contenu du fichier.
  6. Surveillance et enregistrement
    • Mettez en œuvre la journalisation des applications pour les points de terminaison des plugins et surveillez les modèles de traversée de chemin.
    • Intégrez des alertes pour les lectures ou téléchargements de fichiers anormaux.
  7. Analyse régulière automatisée et correctifs virtuels
    • Utilisez un WAF géré pour appliquer des correctifs virtuels jusqu'à ce que les mises à jour du fournisseur se propagent ou ne puissent pas être appliquées immédiatement.
    • Exécutez des analyses de vulnérabilité programmées et des vérifications d'intégrité des fichiers.

Comment vérifier si votre site est affecté

  1. Confirmer le plugin et la version
    • Allez dans le tableau de bord WordPress → Plugins et confirmez la version installée de Unlimited Elements For Elementor.
    • Toute version <= 2.0.6 est affectée. Mettez à jour vers 2.0.7 ou une version ultérieure.
  2. Inspectez les journaux d'accès récents
    • Recherchez des demandes avec des séquences de traversée ou des URL suspectes vers les points de terminaison du plugin affecté.
  3. Inspectez les fichiers du site pour des expositions sensibles
    • Recherchez des fichiers de sauvegarde, des fichiers SQL exportés et d'autres artefacts sous /wp-content/uploads ou d'autres répertoires accessibles par le web.
  4. Passez en revue les rôles des utilisateurs et l'activité récente des contributeurs
    • Vérifiez les nouveaux comptes de contributeurs, les mots de passe récemment modifiés ou les horaires de connexion inhabituels.

Ce que les hôtes et les opérateurs de site doivent faire

Les fournisseurs d'hébergement et les équipes de services gérés doivent :

  • Informer les clients utilisant le plugin affecté avec des versions affectées.
  • Envisager de mettre en œuvre un correctif virtuel temporaire (règle WAF) à la périphérie pour les clients jusqu'à ce qu'ils mettent à jour.
  • Fournir des conseils aux clients pour mettre à jour, auditer les utilisateurs et faire tourner les identifiants.
  • Pour les panneaux d'hébergement qui fournissent la gestion des plugins, appliquer automatiquement les mises à jour aux plugins affectés si la mise à jour automatique est activée ou proposer de les activer.
  • S'assurer que les sauvegardes des clients sont stockées en dehors de la racine web publique par défaut.

Pour les développeurs : pourquoi cette classe de bogue se produit et comment l'éviter

Les bogues de traversée de chemin et de lecture de fichiers arbitraires se produisent souvent lorsque le code :

  • Accepte un paramètre de chemin ou d'URL du client et lui fait confiance.
  • Ne canonise pas et ne normalise pas les chemins avant de vérifier.
  • Suppose une racine web ou un répertoire autorisé sans vérifier le chemin réel de la ressource demandée.
  • Manque de vérifications robustes des capacités/permissions pour les points de terminaison qui accèdent aux fichiers côté serveur.

Modèles d'évitement :

  • Ne jamais lire des fichiers en fonction de l'entrée directe de l'utilisateur sans canonisation : calculez le chemin absolu avec realpath(), puis vérifiez qu'il est à l'intérieur d'un répertoire de base autorisé avant de lire.
  • Utilisez des listes d'autorisation strictes pour les noms de fichiers et les répertoires.
  • Appliquez des vérifications de capacité côté serveur (current_user_can()) pour les opérations sensibles — pas seulement des vérifications côté client.
  • Utilisez des nonces et des vérifications d'origine côté serveur pour les points de terminaison AJAX.
  • Évitez de stocker des fichiers sensibles dans des répertoires accessibles par le web.

Recette de détection (pour les SOC et SRE)

Ajoutez des détections basées sur des règles dans votre pipeline de journalisation/alerte :

  • If URI or query string contains (|../|2e2e) generate a medium-high priority alert.
  • Si les requêtes vers les points de terminaison du plugin renvoient des fichiers de type text/x-php ou application/x-sharedlib — signalez.
  • Si un compte Contributeur effectue >N requêtes vers des points de terminaison de service de fichiers dans un court laps de temps — signalez pour examen.
  • Les alertes d'intégrité des fichiers pour les modifications apportées à wp-config.php, .env, ou des fichiers de sauvegarde nouveaux et inattendus dans les téléchargements devraient déclencher une enquête immédiate.

Manuel de réponse aux incidents (concis)

  1. Contenir
    • Mettez à jour le plugin vers 2.0.7 ou désactivez le plugin.
    • Appliquez des règles WAF pour bloquer les modèles de traversée.
  2. Éradiquer
    • Supprimez toutes les sauvegardes accessibles sur le Web ou les fichiers divulgués.
    • Faites tourner les secrets (identifiants de base de données, clés API, SMTP, etc.).
  3. Récupérer
    • Restaurez à partir de sauvegardes propres si l'intégrité du site est en doute.
    • Reconstruisez les comptes compromis et réémettez les identifiants.
  4. Leçons apprises
    • Gestion des correctifs : assurez-vous que les plugins sont mis à jour rapidement.
    • Contrôle d'accès : évaluez l'utilisation du rôle de Contributeur et renforcez les politiques.
    • Surveillance : améliorez la journalisation et les alertes pour l'accès suspect aux points de terminaison du plugin.

Foire aux questions

Q : Cette vulnérabilité permet-elle l'exécution de code à distance ?

R : La faille est une lecture de fichier arbitraire (divulgation) et non un RCE direct. Cependant, les données obtenues via la lecture de fichiers (identifiants de base de données, jetons secrets) peuvent conduire à d'autres actions, y compris une escalade ou un accès non autorisé, ce qui pourrait finalement permettre l'exécution de code par des moyens secondaires.

Q : Un utilisateur non authentifié peut-il exploiter cela ?

R : Non. La vulnérabilité nécessite une authentification avec au moins des privilèges de niveau Contributeur. Cependant, certains sites peuvent permettre l'auto-inscription ou avoir des contrôles laxistes qui permettent aux attaquants d'obtenir des comptes de Contributeur.

Q : La désactivation du plugin est-elle suffisante ?

R : La désactivation empêche les points de terminaison vulnérables de fonctionner dans de nombreux cas, mais si le plugin a laissé des artefacts (par exemple, des fichiers temporaires ou des copies mises en cache) sur le disque, vous devez les inspecter et les supprimer. La désactivation est une étape de confinement à court terme valide.

Exemples de règles de mitigation pratiques (indépendants des fournisseurs)

Ci-dessous se trouvent des expressions de règles WAF conceptuelles que vous pouvez traduire dans la syntaxe de votre WAF. Ce sont des exemples ; testez avant d'appliquer.

  • Bloquer le parcours de chemin dans la chaîne de requête :
    • Condition: QUERY_STRING matches regex (\.\./||2e2e)
    • Action : Bloquer ou défier (403 ou Captcha)
  • Bloquer les cibles d'exfiltration probables :
    • Condition : REQUEST_URI ou QUERY_STRING contient (wp-config.php|\.env|\.sql|\.zip|\.tar|\.bak)
    • Action : Bloquer
  • Restreindre les points de terminaison CSV/JSON à l'administrateur
    • Condition : REQUEST_URI correspond au point de terminaison du plugin ET le rôle de l'utilisateur n'est pas administrateur
    • Action : Bloquer ou exiger une session de niveau administrateur

Comment WP-Firewall aide (brève explication de nos services)

WP-Firewall fournit des règles WAF gérées, un patching virtuel, une analyse de logiciels malveillants et une surveillance continue pour bloquer les tentatives d'exploitation telles que le parcours de chemin et les lectures de fichiers arbitraires. Notre système peut appliquer des règles ciblées pour arrêter les demandes suspectes à la périphérie, ce qui signifie que votre site est protégé même si un patch de plugin ne peut pas être appliqué immédiatement. Nous offrons également des conseils pour l'enquête, une analyse automatisée des fichiers sensibles exposés et des services de remédiation après incident.


Sécurisez votre site avec une couche de protection immédiate et gratuite

Gardez votre site protégé pendant que vous appliquez le patch — Commencez avec un pare-feu géré gratuit

Si vous gérez un ou plusieurs sites WordPress, la première étape après avoir appris une vulnérabilité de plugin est de réduire la surface d'attaque pendant que vous appliquez le patch. Le plan de base (gratuit) de WP-Firewall vous offre une protection essentielle immédiatement : un pare-feu géré avec un WAF, une bande passante illimitée, un scanner de logiciels malveillants et une atténuation automatisée des risques OWASP Top 10. Inscrivez-vous et activez le plan gratuit maintenant pour ajouter une couche de protection à la périphérie de votre site avant de mettre à jour les plugins ou d'effectuer un audit plus approfondi : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Pour les équipes qui souhaitent plus d'automatisation et de remédiation, nos plans payants ajoutent la suppression automatique de logiciels malveillants, la mise sur liste blanche/noire, le patching virtuel automatique des vulnérabilités, des rapports mensuels et des modules complémentaires premium.


Liste de contrôle : Actions étape par étape pour les propriétaires de sites

  1. Immédiatement : Confirmez la version du plugin. Si <= 2.0.6, mettez à jour vers 2.0.7.
  2. Si vous ne pouvez pas mettre à jour dans les prochaines heures : désactivez le plugin ou désactivez la fonctionnalité vulnérable.
  3. Appliquez des règles de périphérie pour bloquer ../ et les équivalents encodés dans les requêtes aux points de terminaison du plugin.
  4. Examinez les comptes de contributeurs et retirez ou confirmez leur légitimité.
  5. Faites tourner toutes les informations d'identification qui pourraient avoir été exposées ou stockées dans des fichiers accessibles via le web.
  6. Exécutez une analyse complète des malwares et de l'intégrité des fichiers.
  7. Vérifiez les journaux d'accès pour des signes d'exfiltration et informez votre hébergeur si une activité suspecte est trouvée.
  8. Inscrivez-vous à un service WAF géré/de patch virtuel (par exemple, le plan gratuit WP-Firewall) pour gagner du temps pendant que vous appliquez des correctifs et enquêtez.

Derniers mots de notre équipe de sécurité

Des vulnérabilités comme celle-ci soulignent deux thèmes récurrents dans la sécurité de WordPress : la nécessité d'appliquer des correctifs en temps opportun et l'importance de la défense en profondeur. Une seule vulnérabilité de plugin peut être très dommageable si un site permet à des utilisateurs authentifiés à faible privilège, ou si des fichiers sensibles sont laissés dans des emplacements accessibles via le web. Traitez les mises à jour de plugins comme des mises à jour de sécurité, et non comme des fonctionnalités optionnelles — et associez l'application de correctifs avec des protections en périphérie et une surveillance.

Si vous avez besoin d'aide pour trier ou remédier à cette vulnérabilité sur de nombreux sites, notre équipe de sécurité peut vous aider avec des correctifs prioritaires, des correctifs virtuels en périphérie et des enquêtes sur les violations. Le moyen le plus rapide de réduire l'exposition aujourd'hui est de mettre à jour vers la version corrigée du plugin (2.0.7) et d'appliquer les protections WAF temporaires décrites ci-dessus.

Restez en sécurité, et si vous souhaitez une couche de protection immédiate pendant que vous agissez, essayez notre plan de base (gratuit) pour obtenir une protection de pare-feu gérée et un scan : https://my.wp-firewall.com/buy/wp-firewall-free-plan/


Annexe : Références rapides

  • Identifiant de vulnérabilité : CVE-2026-4659
  • Logiciel affecté : plugin Unlimited Elements For Elementor — versions <= 2.0.6
  • Version corrigée : 2.0.7
  • Privilège requis pour l'exploitation : Contributeur (authentifié)
  • Actions immédiates recommandées : Mettre à jour le plugin, ou désactiver/désactiver la fonctionnalité ; appliquer les règles WAF ; auditer les comptes contributeurs ; faire tourner les secrets ; scanner les fichiers.

Pour une assistance pratique, notre équipe de sécurité est disponible pour aider avec le triage, le patch virtuel et le nettoyage. Contactez votre responsable de compte ou inscrivez-vous au plan gratuit pour commencer à protéger les sites immédiatement : https://my.wp-firewall.com/buy/wp-firewall-free-plan/


wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant
!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.