Avada Builder : une faille permettait de supprimer wp-config.php et de prendre le contrôle de votre site

Avada Builder, le constructeur de pages le plus vendu de WordPress, vient de corriger une faille critique : un simple formulaire de contact mal configuré permettait à n'importe qui, sans compte ni mot de passe, de supprimer n'importe quel fichier du serveur - y compris wp-config.php, le fichier qui contient les identifiants de votre base de données. Plus d'un million de sites WordPress utilisent ce plugin. Sans forfait de maintenance WordPress, ce type de faille peut être exploité en quelques requêtes, sans laisser la moindre trace visible avant qu'il soit trop tard.

Action requise. Si votre site utilise Avada Builder (ou le thème Avada), mettez à jour vers la version 3.15.4 immédiatement et vérifiez que wp-config.php est toujours présent à la racine de votre installation. Besoin d'aide pour auditer votre site ? Contactez-nous →
1 000 000+
Sites WordPress concernés
0
Authentification requise pour exploiter
9.1/10
Score de gravité CVSS
3.15.4
Version corrigée (2 juin 2026)

Avada Builder, encore une faille critique

Avada (Fusion) Builder est le constructeur de pages le plus vendu sur ThemeForest, utilisé par plus d'un million de sites WordPress selon WordPress.org. Mi-mai 2026, le chercheur identifié sous le pseudonyme daroo a soumis un rapport au programme de bug bounty de Wordfence, qui lui a valu une récompense de 3 600 $ - l'un des montants les plus élevés versés sur une faille WordPress cette année, à la hauteur de la gravité du problème.

La faille, référencée CVE-2026-8713 et notée 9.1 sur 10 sur l'échelle CVSS, permet à un attaquant non authentifié de supprimer n'importe quel fichier du serveur. Contrairement à la plupart des failles de plugins qui nécessitent un compte ou une condition technique restrictive, celle-ci ne demande rien : pas de mot de passe, pas d'inscription, juste l'accès à un formulaire publié sur le site.

La faille : un formulaire de contact qui peut supprimer vos fichiers

Avada Builder intègre Fusion Forms, son générateur de formulaires natif. Quand un formulaire est configuré pour enregistrer ses soumissions en base de données, le plugin propose une fonctionnalité de nettoyage automatique : au bout d'un certain délai, les anciennes soumissions sont supprimées pour éviter d'alourdir la base.

Le problème se situe dans la fonction maybe_delete_files(), chargée d'effectuer cette purge. Elle ne vérifie pas que le chemin du fichier à supprimer reste cantonné au dossier prévu pour les soumissions. Un attaquant peut donc glisser un chemin de la forme /wp-content/uploads/fusion-forms/../../../wp-config.php dans les données qu'il contrôle - et la fonction supprimera fidèlement le fichier ciblé, où qu'il se trouve sur le serveur.

Ce que ça change concrètement : ce n'est pas une faille qui nécessite un compte WordPress, une faille obscure dans un module annexe, ou une condition rare comme la présence de tables WooCommerce. Tout site avec un formulaire Avada public et l'enregistrement en base activé est exposé, par défaut, à n'importe quel visiteur anonyme.

Le mécanisme exact de l'attaque

L'exploitation passe par le gestionnaire AJAX public wp_ajax_nopriv_fusion_form_submit_ajax - le suffixe nopriv signifie justement que WordPress autorise son appel sans authentification, comme c'est nécessaire pour qu'un visiteur anonyme puisse soumettre un formulaire de contact.

L'attaquant soumet une entrée de formulaire en manipulant deux paramètres précis : fusion_privacy_expiration_interval et privacy_expiration_action. Ensemble, ils permettent de forcer une action de purge "delete" immédiate plutôt que d'attendre le délai normal, tout en injectant le chemin du fichier visé dans les données transmises. Le nettoyage automatique s'exécute alors sur-le-champ, sans délai, sans journal d'audit visible côté administrateur.

Dans les démonstrations techniques documentées par les chercheurs, ce mécanisme a permis de cibler directement wp-config.php à la racine du site. Rien ne limite en théorie l'attaque à ce seul fichier : tout fichier accessible en écriture par le processus PHP peut être visé de la même façon.

Pourquoi supprimer wp-config.php livre le contrôle du site

wp-config.php contient les identifiants de connexion à la base de données WordPress - hôte, nom de la base, utilisateur, mot de passe - ainsi que les clés secrètes utilisées pour sécuriser les sessions. C'est littéralement la pièce qui relie WordPress à ses données.

Quand ce fichier disparaît, WordPress ne trouve plus comment se connecter à sa base et affiche automatiquement l'écran d'installation initial - celui qu'on voit normalement une seule fois, à la création du site. Un attaquant qui a anticipé cette suppression peut alors saisir les coordonnées d'une base de données qu'il contrôle dans cet écran de configuration, et reconfigurer entièrement le site à son profit. À partir de là, la voie est ouverte vers l'exécution de code arbitraire et une prise de contrôle complète du serveur.

Dans les interventions de dépannage WordPress que nous menons, la disparition soudaine de wp-config.php est l'un des signaux les plus nets d'une attaque ciblée plutôt que d'un incident technique classique - une suppression accidentelle ou une erreur d'hébergeur ne touche presque jamais ce fichier précis en isolation.

Les indicateurs de compromission à vérifier

Écran d'installation WordPress affiché alors que le site était déjà configuré
Fichier wp-config.php manquant ou récemment modifié à la racine du site
Requêtes POST vers admin-ajax.php avec l'action fusion_form_submit_ajax contenant des séquences ../
Entrées suspectes dans les tables de soumissions Fusion Forms, avec des valeurs de chemin anormales
Erreur de connexion à la base de données apparaissant sans changement d'hébergement ni de configuration

Une deuxième faille critique en moins de deux mois

Ce n'est pas la première alerte de l'année sur ce plugin. En mai 2026, nous avions documenté deux failles distinctes dans Avada Builder - CVE-2026-4782 (lecture de fichiers par un abonné) et CVE-2026-4798 (injection SQL conditionnée à WooCommerce) - corrigées dans la version 3.15.3 le 12 mai 2026. CVE-2026-8713 a en réalité été signalée le jour même de la publication de cet article précédent, le 13 mai 2026, mais a suivi un calendrier de correction distinct, plus long, jusqu'à la version 3.15.4 publiée le 2 juin.

Trois CVE critiques sur le même plugin en l'espace de trois mois, avec des mécanismes d'exploitation chaque fois différents - lecture de fichiers, injection SQL, suppression de fichiers. Un constructeur de pages expose par nature une surface fonctionnelle énorme : shortcodes, endpoints AJAX, formulaires, intégrations tierces. Chaque fonctionnalité est un point d'entrée potentiel, et Avada Builder en compte beaucoup.

Cela ne signifie pas qu'il faille abandonner le plugin - il reste fonctionnel et les correctifs sont publiés. Mais un produit avec cet historique, installé sur un million de sites, mérite une vigilance de mise à jour plus stricte que la moyenne. Notre guide sur la sécurité des plugins WordPress détaille comment évaluer ce type de risque avant de construire un site autour d'une extension à fort historique.

Versions concernées et correctif

Plugin Versions vulnérables Version corrigée Faille
Avada (Fusion) Builder ≤ 3.15.3 3.15.4 (2 juin 2026) Suppression de fichiers arbitraire non authentifiée (CVE-2026-8713)
Comment vérifier votre version : Tableau de bord WordPress → Extensions → recherchez "Fusion Builder" ou "Avada Builder". La version affichée doit être 3.15.4 ou supérieure. Si le plugin est intégré à votre thème Avada, vérifiez aussi la version du thème depuis Avada → Mise à jour du système.

Ce qu'il faut faire maintenant

1 - Mettre à jour Avada Builder vers la version 3.15.4

Tableau de bord → Extensions → Mises à jour disponibles. Appliquez la mise à jour vers 3.15.4 ou une version ultérieure. Cette version corrige la validation du chemin dans maybe_delete_files().

2 - Vérifier l'intégrité de wp-config.php

Via votre gestionnaire de fichiers ou FTP, confirmez que wp-config.php est présent à la racine de votre installation et que sa date de modification correspond à vos interventions habituelles, pas à une date suspecte.

3 - Auditer vos formulaires Avada publics

Recensez tous les formulaires Fusion Forms publiés sur votre site et vérifiez dans leurs réglages s'ils enregistrent les soumissions en base de données. Ce n'est pas la cause de la faille, mais le facteur qui détermine si elle est exploitable sur votre site.

4 - Analyser les logs serveur

Cherchez dans vos logs Apache ou Nginx des requêtes POST vers admin-ajax.php avec l'action fusion_form_submit_ajax, particulièrement celles contenant des séquences ../ dans leurs paramètres.

5 - Scanner le site si une compromission est suspectée

Utilisez Wordfence ou Sucuri pour un scan complet. Si votre site affiche l'écran d'installation WordPress ou une erreur de base de données inattendue, traitez-le immédiatement comme compromis et faites appel à notre service de réparation WordPress d'urgence.

Si vous gérez plusieurs sites construits avec Avada ou n'avez pas le temps de surveiller chaque bulletin de sécurité plugin, c'est exactement le périmètre couvert par un contrat de maintenance WordPress : application des correctifs critiques dans les heures suivant leur publication, vérification de l'intégrité des fichiers sensibles et alerte immédiate en cas d'anomalie.

Chronologie

  • 1
    13 mai 2026
    Le chercheur "daroo" soumet le rapport de vulnérabilité via le programme de bug bounty Wordfence.
  • 2
    15 mai 2026
    Wordfence valide la preuve de concept, confirme la gravité (CVSS 9.1) et transmet les détails complets à l'équipe Avada.
  • 3
    19 mai 2026
    L'équipe Avada corrige la validation de chemin dans la fonction maybe_delete_files().
  • 4
    2 juin 2026
    Publication officielle de la version 3.15.4 intégrant le correctif. Les utilisateurs Wordfence Premium reçoivent une règle de pare-feu dédiée dès cette date.
  • 5
    Juin 2026
    Divulgation publique complète par Wordfence, chercheur "daroo" récompensé de 3 600 $ via le programme de bug bounty.

FAQ - Faille suppression de fichiers Avada Builder

Mon site est-il concerné si je n'utilise aucun formulaire Avada ?

Le vecteur d'attaque nécessite un formulaire Fusion Forms publié et configuré pour enregistrer ses soumissions en base de données. Sans formulaire actif dans cette configuration, le risque direct est nul. La mise à jour reste recommandée car cette configuration peut avoir été activée par le passé sans que vous le sachiez.

Comment un simple formulaire de contact peut-il supprimer un fichier sur mon serveur ?

Le plugin propose un nettoyage automatique des soumissions après un certain délai. La faille permet de manipuler les paramètres qui contrôlent cette purge pour la déclencher immédiatement, et d'injecter un chemin de fichier arbitraire à la place du fichier de soumission attendu. Le code de suppression ne vérifie pas que le chemin reste dans le dossier prévu.

Que se passe-t-il concrètement si wp-config.php est supprimé ?

WordPress ne trouve plus ses informations de connexion à la base et bascule sur l'écran d'installation initial. Un attaquant qui surveille cet instant peut saisir les coordonnées d'une base qu'il contrôle et reconfigurer le site à son profit, ouvrant la voie à une prise de contrôle totale.

Cette faille est-elle liée aux failles CVE-2026-4782 et CVE-2026-4798 découvertes en mars ?

Non, ce sont deux incidents distincts. CVE-2026-4782 et CVE-2026-4798 concernaient la lecture de fichiers et une injection SQL, corrigées en version 3.15.3. CVE-2026-8713 est une faille différente de suppression de fichiers via les formulaires, signalée le même jour mais corrigée séparément dans la version 3.15.4.

Comment savoir si mon site a déjà été attaqué via cette faille ?

Le signe le plus visible est l'apparition de l'écran d'installation WordPress ou une erreur de connexion à la base de données inattendue. Vérifiez aussi les tables de soumissions Fusion Forms pour des entrées contenant des séquences ../ suspectes, et vos logs serveur pour des requêtes anormales vers admin-ajax.php.

Un formulaire de contact n'est jamais "juste" un formulaire de contact

Un formulaire de contact est l'un des éléments les plus anodins d'un site web - personne ne l'audite, personne ne s'en méfie. C'est précisément ce qui en fait un vecteur d'attaque efficace : public par construction, accessible sans compte par construction. Chaque ligne de code qui le traite est une surface d'attaque, même si rien dans son apparence ne le suggère.

Le score CVSS de 9.1 place cette faille parmi les plus sévères traitées sur ce site depuis le début de l'année - à la hauteur de la faille Burst Statistics qui permettait un accès administrateur sans mot de passe. Mais contrairement à un contournement d'authentification classique, celle-ci ne cible pas une fonctionnalité d'administration : elle détourne une fonction de nettoyage interne, invisible, que personne n'aurait pensé à surveiller.

Trois CVE critiques sur Avada Builder en trois mois ne sont pas un signal à ignorer. Si vous construisez ou gérez un site avec ce plugin, le surveiller de près n'est plus une option, c'est un acquis. Ce qui reste à savoir, c'est si la prochaine mise à jour de sécurité sera appliquée en heures, ou en semaines.

À propos de l'auteur

Yohann LE DU

Expert WordPress & Sécurité web

Développeur senior depuis plus de 20 ans, spécialiste WordPress et sécurité web. Yohann accompagne les TPE, PME et associations dans la maintenance préventive et la sécurisation de leurs sites WordPress.

Avada Builder sur votre site ? Vérifiez votre version maintenant.

Une version non à jour expose wp-config.php et l'intégralité de votre installation. Notre maintenance WordPress applique les correctifs critiques dans les heures suivant leur publication.