Plateforme
wordpress
Composant
advanced-members
Corrigé dans
1.2.6
1.2.6
La vulnérabilité CVE-2026-3243 affecte le plugin WordPress Advanced Members for ACF. Elle se manifeste par un défaut de validation des chemins de fichiers, permettant une traversée de répertoire. Cette faille peut permettre à des attaquants authentifiés, avec un accès de niveau Abonné ou supérieur, de supprimer des fichiers arbitraires sur le serveur, ce qui peut facilement conduire à une exécution de code à distance, notamment en supprimant le fichier wp-config.php. La version 1.2.5 a partiellement corrigé cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant authentifié, même avec un simple compte Abonné, peut exploiter cette faille pour supprimer des fichiers critiques sur le serveur WordPress. La suppression du fichier wp-config.php, par exemple, peut permettre à l'attaquant de prendre le contrôle complet du site web. La capacité de supprimer des fichiers arbitraires ouvre la porte à l'exécution de code à distance, permettant à l'attaquant d'installer des portes dérobées, de voler des données sensibles ou de compromettre l'ensemble du serveur. Cette vulnérabilité présente des similitudes avec d'autres failles de traversée de répertoire qui ont conduit à des violations de données importantes dans le passé.
La vulnérabilité CVE-2026-3243 a été rendue publique le 7 avril 2026. Il n'y a pas d'indications d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (PoC) public n'a été largement diffusé, mais la simplicité de l'exploitation suggère qu'il pourrait rapidement en apparaître. Il est donc crucial d'appliquer la correction dès que possible.
WordPress websites utilizing the Advanced Members for ACF plugin, particularly those running older versions (≤1.2.5) and those with Subscriber-level users or higher who have access to plugin functionality. Shared hosting environments where file permissions are not tightly controlled are also at increased risk.
• wordpress / plugin:
wp plugin listCheck if the Advanced Members for ACF plugin is installed and its version. If the version is ≤1.2.5, the system is vulnerable. • wordpress / plugin:
wp plugin update advanced-members-for-acfAttempt to update the plugin to the latest version (1.2.6 or later). • wordpress / file system: Inspect the WordPress file system for any unusual files or modifications, particularly in directories accessible to the WordPress user. • wordpress / plugin: Review the plugin's code for any instances of file path manipulation or validation that could be exploited.
disclosure
Statut de l'Exploit
EPSS
0.22% (percentile 45%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Advanced Members for ACF vers la version 1.2.6 ou supérieure. Si la mise à jour n'est pas possible en raison de problèmes de compatibilité, une solution temporaire consiste à restreindre les permissions d'écriture pour le répertoire où le plugin stocke ses fichiers. Il est également recommandé de mettre en place un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes qui tentent d'accéder à des fichiers sensibles. Enfin, surveillez attentivement les journaux du serveur et du plugin pour détecter toute activité suspecte, comme des tentatives de suppression de fichiers non autorisées.
Mettre à jour vers la version 1.2.6, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3243 is a Path Traversal vulnerability in the Advanced Members for ACF WordPress plugin, allowing authenticated attackers to delete files.
You are affected if you are using Advanced Members for ACF version 1.2.5 or earlier. Upgrade to 1.2.6 to mitigate the risk.
Upgrade the Advanced Members for ACF plugin to version 1.2.6 or later. Consider restricting file permissions as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.