Une vulnérabilité importante a été corrigée au sein de Slider Revolution, un plugin WordPress avec plus de 5 millions d’installations actives. Cette faille de sécurité permet à un attaquant de charger un fichier malveillant et de compromettre totalement un site web. Voici comment s’en protéger.

Une faille dans un plugin populaire

Comme son nom l’indique, Slider Revolution est une extension WordPress permettant de créer des sliders pour les sites web, en alliant design et motion. Les auteurs de ce plugin le considèrent comme le plugin de slider numéro 1 pour WordPress. Malheureusement, il est affecté par un problème de sécurité.

En effet, le 18 avril 2026, une vulnérabilité importante a été signalée via le programme de Bug Bounty de Wordfence par le chercheur en sécurité h0xilo. Elle permet le téléchargement de fichiers arbitraires sur le site WordPress ciblé, ce qui permet de le compromettre via une exécution de code à distance.

La faille de sécurité réside dans un manque de validation des extensions de fichiers lors de l’utilisation de certaines fonctions du plugin, notamment la fonction . Plus précisément, l’action AJAX est accessible à tout utilisateur authentifié. Ainsi, un attaquant disposant d’un simple compte avec le rôle “Abonné” (rôle par défaut et minimum sur WordPress) peut exploiter cette vulnérabilité.

Cette vulnérabilité lui permet de fournir une URL pointant vers un fichier PHP malveillant qu’il contrôle. Le plugin télécharge alors ce fichier directement dans le répertoire des envois de WordPress, qui est accessible publiquement.

“Comme pour toutes les failles de sécurité liées au téléchargement arbitraire de fichiers, cela peut conduire à une compromission totale du site par le biais de webshells et d’autres techniques.”, précise Wordfence dans son rapport.

Comment se protéger de la CVE-2026-6692 ?

Ce problème a été introduit lors de la sortie de la version majeure 7.0, associée à Slider Revolution 7. De son côté, Wordfence estime qu’environ 45 000 sites web utilisent une version vulnérable à l’heure actuelle.

Voici les informations clés relatives à cette découverte associée à la référence CVE-2026-6692 :

• Score CVSS : 8.8 sur 10
• Versions affectées : de 7.0.0 à 7.0.10
• Version corrigée : 7.0.11

En réalité, l’équipe de développement de ThemePunch a publié un premier correctif partiel dès le 22 avril (version 7.0.10), suivi d’un correctif complet le 4 mai 2026 avec la version 7.0.11. Enfin, sachez que pour cette découverte, le chercheur en sécurité a empoché une belle récompense de 4 914 $.