Résumé
Le 20 mai 2026, une faille de sécurité a été identifiée dans le plugin Advanced Database Cleaner – Premium pour WordPress, un plugin servant à nettoyer et optimiser la base de données de WordPress en supprimant les données inutiles, pour garder le site plus rapide et plus propre.
Cette vulnérabilité permet à un attaquant déjà connecté avec un compte de niveau abonné ou supérieur d’accéder à des fichiers PHP du serveur via un paramètre nommé template. En pratique, cela peut permettre de lire des données sensibles, de contourner des protections, voire d’exécuter du code sur le serveur si un fichier PHP peut être inclus.
Référencée sous CVE-2026-7522, cette vulnérabilité est de type inclusion locale de fichiers.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par le fournisseur.
La faille est activement exploitée : oui
Details techniques
Score CVSS : 8.8/10 (HIGH)
EPSS : 0.11%
Systèmes affectés
Advanced Database Cleaner – Premium version 0 jusqu’à 4.1.0
Documentation
NIST NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-7522
CVE Details : https://www.cvedetails.com/cve/CVE-2026-7522/
Référence CVE : https://www.cve.org/CVERecord?id=CVE-2026-7522
CWE : https://www.cvedetails.com/cwe-details/CWE-98/