CVE-2026-3425: LFI dans RTMKit Addons for Elementor
Plateforme
wordpress
Composant
rometheme-for-elementor
Corrigé dans
2.0.3
La vulnérabilité CVE-2026-3425 affecte le plugin RTMKit Addons for Elementor pour WordPress. Elle se manifeste par une Inclusion de Fichiers Locaux (LFI) via le paramètre 'path' de l'action AJAX 'get_content'. Cette faille permet à des attaquants authentifiés, disposant d'un accès d'auteur ou supérieur, d'inclure et d'exécuter des fichiers PHP arbitraires sur le serveur, ce qui peut entraîner une exécution de code malveillant. La correction est disponible dans la version 2.0.3.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, y compris le vol de données sensibles, la modification du contenu, l'installation de portes dérobées et l'utilisation du serveur pour lancer d'autres attaques. L'attaquant, ayant un accès d'auteur ou supérieur, peut exploiter cette faille pour contourner les contrôles d'accès et obtenir un contrôle total sur l'environnement WordPress. Bien qu'il n'y ait pas de cas d'exploitation publique connus à ce jour, la nature de la vulnérabilité LFI, combinée à la popularité du plugin Elementor, en fait une cible potentielle pour les acteurs malveillants.
Contexte d'Exploitation
La vulnérabilité CVE-2026-3425 a été publiée le 12 mai 2026. Sa sévérité est évaluée à HIGH (8.8 CVSS). Il n'y a pas d'indications d'une présence sur KEV ou d'un score EPSS élevé à ce jour. Aucune preuve d'exploitation active n'est disponible publiquement, mais la nature de la vulnérabilité LFI et la popularité du plugin en font une cible potentielle. Consultez l'avis officiel de sécurité sur le site web du développeur pour plus d'informations.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
Mitigation et Contournements
La mitigation immédiate consiste à mettre à jour le plugin RTMKit Addons for Elementor vers la version 2.0.3 ou supérieure. Si la mise à jour n'est pas possible en raison de problèmes de compatibilité, une solution temporaire consiste à restreindre l'accès au fichier 'get_content' via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez des règles pour bloquer les requêtes contenant des caractères spéciaux ou des chemins non autorisés dans le paramètre 'path'. De plus, assurez-vous que les permissions des fichiers et des répertoires WordPress sont correctement configurées pour empêcher l'écriture non autorisée. Après la mise à jour, vérifiez l'intégrité du plugin en comparant les sommes de contrôle (checksums) avec celles fournies par le développeur.
Comment corriger
Mettre à jour vers la version 2.0.3, ou une version corrigée plus récente
Questions fréquentes
What is CVE-2026-3425 — LFI in RTMKit Addons for Elementor?
CVE-2026-3425 est une vulnérabilité d'Inclusion de Fichiers Locaux (LFI) dans le plugin RTMKit Addons for Elementor pour WordPress, permettant l'exécution de code PHP arbitraire par des attaquants authentifiés.
Am I affected by CVE-2026-3425 in RTMKit Addons for Elementor?
Vous êtes affecté si vous utilisez le plugin RTMKit Addons for Elementor dans une version inférieure ou égale à 2.0.2.
How do I fix CVE-2026-3425 in RTMKit Addons for Elementor?
Mettez à jour le plugin vers la version 2.0.3 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes suspectes.
Is CVE-2026-3425 being actively exploited?
À ce jour, il n'y a pas de preuves d'exploitation active, mais la vulnérabilité est considérée comme une cible potentielle.
Where can I find the official RTMKit advisory for CVE-2026-3425?
Consultez le site web du développeur RTMKit pour l'avis de sécurité officiel concernant CVE-2026-3425.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Détecte cette CVE dans ton projet
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Scannez votre projet WordPress maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...