Plateforme
wordpress
Composant
siteorigin-panels
Corrigé dans
2.33.6
La vulnérabilité CVE-2026-2448 est une faille de Local File Inclusion (LFI) affectant le plugin Page Builder by SiteOrigin pour WordPress. Cette faille permet à un attaquant authentifié, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. Les versions concernées sont celles comprises entre 0.0.0 et 2.33.5 incluses. Une correction est disponible dans la version 2.34.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, incluant le vol de données sensibles, la modification du contenu, l'installation de portes dérobées, ou même le contrôle total du serveur. L'attaquant peut contourner les contrôles d'accès et exploiter des fichiers considérés comme sûrs, tels que des images, pour inclure et exécuter du code malveillant. Le risque est significatif, car l'attaquant n'a besoin que d'un accès de niveau Contributeur, souvent accordé aux utilisateurs ayant un rôle limité sur le site.
Cette vulnérabilité a été publiée le 3 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité LFI la rend potentiellement exploitable. Aucun PoC public n'a été identifié à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès authentifié.
WordPress websites utilizing the Page Builder by SiteOrigin plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where users have limited control over server configuration are also particularly vulnerable, as they may be unable to implement effective mitigation strategies beyond plugin updates.
• wordpress / composer / npm:
wp plugin list | grep 'Page Builder by SiteOrigin'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'locate_template(' /var/www/wordpress/wp-content/plugins/page-builder-siteorigin/*• generic web: Check WordPress plugin directory for updated version and security advisories.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Page Builder by SiteOrigin vers la version 2.34.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès au plugin et de surveiller les fichiers suspects. En attendant la mise à jour, il est possible de configurer un Web Application Firewall (WAF) pour bloquer les requêtes suspectes contenant des chemins de fichiers non autorisés. Des règles d'auditd peuvent être mises en place pour surveiller les tentatives d'accès aux fichiers sensibles. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et assurez-vous qu'il n'y a pas de modifications non autorisées.
Mettre à jour vers la version 2.34.0, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-2448 is a Local File Inclusion vulnerability affecting the Page Builder by SiteOrigin WordPress plugin, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Page Builder by SiteOrigin versions 0.0.0 through 2.33.5. Upgrade to 2.34.0 or later to resolve the issue.
Upgrade the Page Builder by SiteOrigin plugin to version 2.34.0 or later. Consider restricting file upload permissions as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's nature makes it likely that exploitation attempts will occur. Monitor security advisories.
Refer to the official Page Builder by SiteOrigin plugin documentation and WordPress security announcements for the latest advisory information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.