Résumé
Le 21 mai 2026, une faille de sécurité a été identifiée dans le plugin Avada Builder (fusion-builder) pour WordPress, un éditeur de pages visuel qui permet de créer et mettre en page un site WordPress entièrement en glisser‑déposer, sans écrire de code.
Cette faille permet à un attaquant non authentifié d’exécuter du code à distance sur un site vulnérable, sans avoir besoin de se connecter. En pratique, un pirate peut ainsi lancer des commandes arbitraires sur le serveur et prendre le contrôle du site.
Référencée sous CVE-2026-6279, cette vulnérabilité est de type injection de code.
Solutions
Il est recommandé d’appliquer les correctifs indiqués par le fournisseur.
La faille est activement exploitée : oui
Details techniques
Score CVSS : 9.8/10 (CRITICAL)
EPSS : 0.10%
Systèmes affectés
Avada (Fusion) Builder version 0 jusqu’à 3.15.2
Documentation
NIST NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-6279
CVE Details : https://www.cvedetails.com/cve/CVE-2026-6279/
Référence CVE : https://www.cve.org/CVERecord?id=CVE-2026-6279
CWE : https://www.cvedetails.com/cwe-details/CWE-74/