Avada Builder : une faille permettait de supprimer wp-config.php et de prendre le contrôle de votre site
Avada Builder, le constructeur de pages le plus vendu de WordPress, vient de corriger une faille critique : un simple formulaire de contact mal configuré permettait à n'importe qui, sans compte ni mot de passe, de supprimer n'importe quel fichier du serveur - y compris wp-config.php, le fichier qui contient les identifiants de votre base de données. Plus d'un million de sites WordPress utilisent ce plugin. Sans forfait de maintenance WordPress, ce type de faille peut être exploité en quelques requêtes, sans laisser la moindre trace visible avant qu'il soit trop tard.
wp-config.php est toujours présent à la racine de votre installation. Besoin d'aide pour auditer votre site ? Contactez-nous →
Sommaire
- Avada Builder, encore une faille critique
- La faille : un formulaire de contact qui peut supprimer vos fichiers
- Le mécanisme exact de l'attaque
- Pourquoi supprimer wp-config.php livre le contrôle du site
- Les indicateurs de compromission à vérifier
- Une deuxième faille critique en moins de deux mois
- Versions concernées et correctif
- Ce qu'il faut faire maintenant
- Chronologie
- FAQ
Avada Builder, encore une faille critique
Avada (Fusion) Builder est le constructeur de pages le plus vendu sur ThemeForest, utilisé par plus d'un million de sites WordPress selon WordPress.org. Mi-mai 2026, le chercheur identifié sous le pseudonyme daroo a soumis un rapport au programme de bug bounty de Wordfence, qui lui a valu une récompense de 3 600 $ - l'un des montants les plus élevés versés sur une faille WordPress cette année, à la hauteur de la gravité du problème.
La faille, référencée CVE-2026-8713 et notée 9.1 sur 10 sur l'échelle CVSS, permet à un attaquant non authentifié de supprimer n'importe quel fichier du serveur. Contrairement à la plupart des failles de plugins qui nécessitent un compte ou une condition technique restrictive, celle-ci ne demande rien : pas de mot de passe, pas d'inscription, juste l'accès à un formulaire publié sur le site.
La faille : un formulaire de contact qui peut supprimer vos fichiers
Avada Builder intègre Fusion Forms, son générateur de formulaires natif. Quand un formulaire est configuré pour enregistrer ses soumissions en base de données, le plugin propose une fonctionnalité de nettoyage automatique : au bout d'un certain délai, les anciennes soumissions sont supprimées pour éviter d'alourdir la base.
Le problème se situe dans la fonction maybe_delete_files(), chargée d'effectuer cette purge. Elle ne vérifie pas que le chemin du fichier à supprimer reste cantonné au dossier prévu pour les soumissions. Un attaquant peut donc glisser un chemin de la forme /wp-content/uploads/fusion-forms/../../../wp-config.php dans les données qu'il contrôle - et la fonction supprimera fidèlement le fichier ciblé, où qu'il se trouve sur le serveur.
Le mécanisme exact de l'attaque
L'exploitation passe par le gestionnaire AJAX public wp_ajax_nopriv_fusion_form_submit_ajax - le suffixe nopriv signifie justement que WordPress autorise son appel sans authentification, comme c'est nécessaire pour qu'un visiteur anonyme puisse soumettre un formulaire de contact.
L'attaquant soumet une entrée de formulaire en manipulant deux paramètres précis : fusion_privacy_expiration_interval et privacy_expiration_action. Ensemble, ils permettent de forcer une action de purge "delete" immédiate plutôt que d'attendre le délai normal, tout en injectant le chemin du fichier visé dans les données transmises. Le nettoyage automatique s'exécute alors sur-le-champ, sans délai, sans journal d'audit visible côté administrateur.
Dans les démonstrations techniques documentées par les chercheurs, ce mécanisme a permis de cibler directement wp-config.php à la racine du site. Rien ne limite en théorie l'attaque à ce seul fichier : tout fichier accessible en écriture par le processus PHP peut être visé de la même façon.
Pourquoi supprimer wp-config.php livre le contrôle du site
wp-config.php contient les identifiants de connexion à la base de données WordPress - hôte, nom de la base, utilisateur, mot de passe - ainsi que les clés secrètes utilisées pour sécuriser les sessions. C'est littéralement la pièce qui relie WordPress à ses données.
Quand ce fichier disparaît, WordPress ne trouve plus comment se connecter à sa base et affiche automatiquement l'écran d'installation initial - celui qu'on voit normalement une seule fois, à la création du site. Un attaquant qui a anticipé cette suppression peut alors saisir les coordonnées d'une base de données qu'il contrôle dans cet écran de configuration, et reconfigurer entièrement le site à son profit. À partir de là, la voie est ouverte vers l'exécution de code arbitraire et une prise de contrôle complète du serveur.
Dans les interventions de dépannage WordPress que nous menons, la disparition soudaine de wp-config.php est l'un des signaux les plus nets d'une attaque ciblée plutôt que d'un incident technique classique - une suppression accidentelle ou une erreur d'hébergeur ne touche presque jamais ce fichier précis en isolation.
Les indicateurs de compromission à vérifier
wp-config.php manquant ou récemment modifié à la racine du siteadmin-ajax.php avec l'action fusion_form_submit_ajax contenant des séquences ../Une deuxième faille critique en moins de deux mois
Ce n'est pas la première alerte de l'année sur ce plugin. En mai 2026, nous avions documenté deux failles distinctes dans Avada Builder - CVE-2026-4782 (lecture de fichiers par un abonné) et CVE-2026-4798 (injection SQL conditionnée à WooCommerce) - corrigées dans la version 3.15.3 le 12 mai 2026. CVE-2026-8713 a en réalité été signalée le jour même de la publication de cet article précédent, le 13 mai 2026, mais a suivi un calendrier de correction distinct, plus long, jusqu'à la version 3.15.4 publiée le 2 juin.
Trois CVE critiques sur le même plugin en l'espace de trois mois, avec des mécanismes d'exploitation chaque fois différents - lecture de fichiers, injection SQL, suppression de fichiers. Un constructeur de pages expose par nature une surface fonctionnelle énorme : shortcodes, endpoints AJAX, formulaires, intégrations tierces. Chaque fonctionnalité est un point d'entrée potentiel, et Avada Builder en compte beaucoup.
Cela ne signifie pas qu'il faille abandonner le plugin - il reste fonctionnel et les correctifs sont publiés. Mais un produit avec cet historique, installé sur un million de sites, mérite une vigilance de mise à jour plus stricte que la moyenne. Notre guide sur la sécurité des plugins WordPress détaille comment évaluer ce type de risque avant de construire un site autour d'une extension à fort historique.
Versions concernées et correctif
| Plugin | Versions vulnérables | Version corrigée | Faille |
|---|---|---|---|
| Avada (Fusion) Builder | ≤ 3.15.3 | 3.15.4 (2 juin 2026) | Suppression de fichiers arbitraire non authentifiée (CVE-2026-8713) |
Ce qu'il faut faire maintenant
Tableau de bord → Extensions → Mises à jour disponibles. Appliquez la mise à jour vers 3.15.4 ou une version ultérieure. Cette version corrige la validation du chemin dans maybe_delete_files().
Via votre gestionnaire de fichiers ou FTP, confirmez que wp-config.php est présent à la racine de votre installation et que sa date de modification correspond à vos interventions habituelles, pas à une date suspecte.
Recensez tous les formulaires Fusion Forms publiés sur votre site et vérifiez dans leurs réglages s'ils enregistrent les soumissions en base de données. Ce n'est pas la cause de la faille, mais le facteur qui détermine si elle est exploitable sur votre site.
Cherchez dans vos logs Apache ou Nginx des requêtes POST vers admin-ajax.php avec l'action fusion_form_submit_ajax, particulièrement celles contenant des séquences ../ dans leurs paramètres.
Utilisez Wordfence ou Sucuri pour un scan complet. Si votre site affiche l'écran d'installation WordPress ou une erreur de base de données inattendue, traitez-le immédiatement comme compromis et faites appel à notre service de réparation WordPress d'urgence.
Si vous gérez plusieurs sites construits avec Avada ou n'avez pas le temps de surveiller chaque bulletin de sécurité plugin, c'est exactement le périmètre couvert par un contrat de maintenance WordPress : application des correctifs critiques dans les heures suivant leur publication, vérification de l'intégrité des fichiers sensibles et alerte immédiate en cas d'anomalie.
Chronologie
-
113 mai 2026Le chercheur "daroo" soumet le rapport de vulnérabilité via le programme de bug bounty Wordfence.
-
215 mai 2026Wordfence valide la preuve de concept, confirme la gravité (CVSS 9.1) et transmet les détails complets à l'équipe Avada.
-
319 mai 2026L'équipe Avada corrige la validation de chemin dans la fonction
maybe_delete_files(). -
42 juin 2026Publication officielle de la version 3.15.4 intégrant le correctif. Les utilisateurs Wordfence Premium reçoivent une règle de pare-feu dédiée dès cette date.
-
5Juin 2026Divulgation publique complète par Wordfence, chercheur "daroo" récompensé de 3 600 $ via le programme de bug bounty.
FAQ - Faille suppression de fichiers Avada Builder
Mon site est-il concerné si je n'utilise aucun formulaire Avada ?
Le vecteur d'attaque nécessite un formulaire Fusion Forms publié et configuré pour enregistrer ses soumissions en base de données. Sans formulaire actif dans cette configuration, le risque direct est nul. La mise à jour reste recommandée car cette configuration peut avoir été activée par le passé sans que vous le sachiez.
Comment un simple formulaire de contact peut-il supprimer un fichier sur mon serveur ?
Le plugin propose un nettoyage automatique des soumissions après un certain délai. La faille permet de manipuler les paramètres qui contrôlent cette purge pour la déclencher immédiatement, et d'injecter un chemin de fichier arbitraire à la place du fichier de soumission attendu. Le code de suppression ne vérifie pas que le chemin reste dans le dossier prévu.
Que se passe-t-il concrètement si wp-config.php est supprimé ?
WordPress ne trouve plus ses informations de connexion à la base et bascule sur l'écran d'installation initial. Un attaquant qui surveille cet instant peut saisir les coordonnées d'une base qu'il contrôle et reconfigurer le site à son profit, ouvrant la voie à une prise de contrôle totale.
Cette faille est-elle liée aux failles CVE-2026-4782 et CVE-2026-4798 découvertes en mars ?
Non, ce sont deux incidents distincts. CVE-2026-4782 et CVE-2026-4798 concernaient la lecture de fichiers et une injection SQL, corrigées en version 3.15.3. CVE-2026-8713 est une faille différente de suppression de fichiers via les formulaires, signalée le même jour mais corrigée séparément dans la version 3.15.4.
Comment savoir si mon site a déjà été attaqué via cette faille ?
Le signe le plus visible est l'apparition de l'écran d'installation WordPress ou une erreur de connexion à la base de données inattendue. Vérifiez aussi les tables de soumissions Fusion Forms pour des entrées contenant des séquences ../ suspectes, et vos logs serveur pour des requêtes anormales vers admin-ajax.php.
Un formulaire de contact n'est jamais "juste" un formulaire de contact
Un formulaire de contact est l'un des éléments les plus anodins d'un site web - personne ne l'audite, personne ne s'en méfie. C'est précisément ce qui en fait un vecteur d'attaque efficace : public par construction, accessible sans compte par construction. Chaque ligne de code qui le traite est une surface d'attaque, même si rien dans son apparence ne le suggère.
Le score CVSS de 9.1 place cette faille parmi les plus sévères traitées sur ce site depuis le début de l'année - à la hauteur de la faille Burst Statistics qui permettait un accès administrateur sans mot de passe. Mais contrairement à un contournement d'authentification classique, celle-ci ne cible pas une fonctionnalité d'administration : elle détourne une fonction de nettoyage interne, invisible, que personne n'aurait pensé à surveiller.
Trois CVE critiques sur Avada Builder en trois mois ne sont pas un signal à ignorer. Si vous construisez ou gérez un site avec ce plugin, le surveiller de près n'est plus une option, c'est un acquis. Ce qui reste à savoir, c'est si la prochaine mise à jour de sécurité sera appliquée en heures, ou en semaines.