Plateforme
wordpress
Composant
unlimited-elements-for-elementor
Corrigé dans
2.0.7
2.0.7
La vulnérabilité CVE-2026-4659 affecte le plugin WordPress Unlimited Elements for Elementor, dans les versions inférieures ou égales à 2.0.6. Cette faille de type Path Traversal permet à un attaquant de lire des fichiers arbitraires sur le serveur. L'exploitation repose sur un manque de validation des séquences de traversal de chemin dans les fonctions urlToRelative() et urlToPath(), combiné à la possibilité d'activer la sortie de débogage dans les paramètres des widgets. La version 2.0.7 corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité peut lire des fichiers sensibles présents sur le serveur web, tels que des fichiers de configuration, des fichiers de code source, ou des fichiers contenant des informations d'identification. La lecture de ces fichiers peut permettre à l'attaquant de compromettre davantage le système, d'accéder à des données confidentielles, ou de modifier le comportement de l'application. Le risque est amplifié si le plugin est utilisé dans des environnements de développement ou de test où des informations sensibles sont stockées en clair. Cette vulnérabilité pourrait également être exploitée pour obtenir un accès non autorisé à la base de données WordPress si les informations d'identification sont stockées dans des fichiers accessibles.
Cette vulnérabilité a été publiée le 16 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible. Le score de probabilité d'exploitation est considéré comme moyen en raison de la simplicité de l'exploitation et de la popularité du plugin. Il est conseillé de surveiller les forums de sécurité et les flux d'actualités pour détecter d'éventuelles preuves d'exploitation.
WordPress websites utilizing the Unlimited Elements for Elementor plugin, particularly those running versions prior to 2.0.7, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with debugging enabled are also at increased risk.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/unlimited-elements-for-elementor/*• generic web:
curl -I 'https://your-wordpress-site.com/wp-content/plugins/unlimited-elements-for-elementor/repeater.php?url=../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mesure la plus importante est de mettre à jour le plugin Unlimited Elements for Elementor vers la version 2.0.7 ou supérieure. En attendant la mise à jour, il est possible de désactiver temporairement la sortie de débogage dans les paramètres des widgets. Il est également recommandé de restreindre l'accès aux fichiers sensibles sur le serveur web via des règles de pare-feu ou des configurations de serveur. Surveiller les journaux d'accès et d'erreurs du serveur web pour détecter des tentatives d'accès non autorisées aux fichiers.
Mettre à jour vers la version 2.0.7, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4659 is a vulnerability allowing attackers to read arbitrary files on a WordPress server using the Unlimited Elements for Elementor plugin. It's rated HIGH severity due to the potential for sensitive data exposure.
You are affected if you are using Unlimited Elements for Elementor version 2.0.6 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the Unlimited Elements for Elementor plugin to version 2.0.7 or later. As a temporary workaround, disable the Repeater feature if upgrading is not immediately possible.
There is no confirmed active exploitation of CVE-2026-4659 as of the last update, but the vulnerability is publicly known and could be targeted.
Refer to the official Unlimited Elements for Elementor plugin website or the WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.