seolounge
- Easy Elements for Elementor jusqu à la version 1.4.5 est touché par CVE-2026-9018.
- Le risque porte sur une élévation de privilèges pouvant mener à un compte administrateur.
- Le problème se situe dans le widget Login Register et son traitement de l inscription.
- La faille a été publiée le 22 mai 2026 avec un score CVSS 8.8.
- Le plugin est fermé sur WordPress.org depuis le 19 mai 2026 pendant une revue complète.
- Si le plugin est encore installé, coupe l inscription publique et vérifie les comptes admin.
Easy Elements Elementor CVE-2026-9018 demande un contrôle rapide. La faille touche Easy Elements for Elementor, un addon Elementor qui ajoutait des widgets et des templates pour construire plus vite des pages WordPress. Le plugin n est plus téléchargeable depuis WordPress.org au moment où tu lis ces lignes, car il est fermé temporairement depuis le 19 mai 2026 pendant une revue complète.
Le sujet mérite un vrai contrôle parce que le scénario annoncé ne parle pas d une simple fuite d affichage. La vulnérabilité peut permettre à un visiteur non connecté de créer un nouveau compte avec des droits administrateur, sous certaines conditions. En clair, le problème vise le moment où le plugin gère une inscription via son widget Login Register. Si ton site autorise les inscriptions et qu une page expose ce widget, l exposition devient sérieuse.
Le score CVSS 8.8 indique un niveau haut. Ce n est pas le chiffre le plus haut possible, mais le résultat à regarder est simple. Un compte administrateur inconnu peut modifier des extensions, ajouter du code, toucher au thème, changer les réglages SEO, créer des redirections, lire des données privées et préparer une compromission plus longue. Tu corriges donc le mécanisme vulnérable, puis tu vérifies ce qui a pu se passer avant.
Easy Elements CVE-2026-9018 en clair
Easy Elements for Elementor ajoute des briques prêtes à l emploi dans Elementor. Le widget concerné sert à afficher une zone de connexion et d inscription. Ce type de widget a une position sensible, car il accepte des données venues du front public et peut déclencher une création de compte WordPress.
La faille vient du traitement des métadonnées envoyées pendant l inscription. Le plugin pouvait écrire des valeurs fournies par la requête dans les métadonnées du nouvel utilisateur sans garde assez stricte sur les clés acceptées. Or WordPress stocke le rôle et les capacités d un utilisateur dans une métadonnée très sensible. Si un plugin laisse cette zone être pilotée depuis le formulaire, le compte créé peut recevoir beaucoup plus de droits que prévu.
Le point technique cité tourne autour de la fonction easyel_handle_register, du hook AJAX wp_ajax_nopriv_eel_register et d une donnée appelée custom_meta. Le détail à retenir n est pas une recette d attaque. C est le fait que le plugin ne devait jamais faire confiance à une liste de métadonnées fournie par le navigateur pour décider des droits d un compte.
- Plugin concerné Easy Elements for Elementor.
- Version touchée 1.4.5 et versions plus anciennes.
- Type de faille élévation de privilèges.
- Score annoncé CVSS 8.8 au niveau haut.
- Condition à vérifier inscription ouverte et widget Login Register publié.
- Effet possible création d un compte administrateur non prévu.
Pourquoi le widget Login Register change le risque
Un addon Elementor peut rester discret pendant des mois. Tu l installes pour un widget, tu changes de design, puis tu oublies qu il est encore actif. Avec Easy Elements, le contrôle à faire est précis. Le widget Login Register peut afficher un formulaire d inscription sur une page publique. Dès que cette page existe, un visiteur peut charger la page, lire les données JavaScript nécessaires au formulaire, puis tenter une inscription.
La vulnérabilité ne concerne donc pas seulement les sites qui ont beaucoup de membres. Un site vitrine peut être concerné si une ancienne page test contient encore le widget. Une landing page, une page brouillon publiée par erreur, un espace client abandonné ou une page Elementor absente du menu peuvent suffire à exposer le formulaire.
Regarde aussi le réglage WordPress qui autorise tout le monde à s inscrire. Sur beaucoup de sites, il reste activé après un test, après une installation de plugin de membres ou après une migration. Quand ce réglage et le widget sont présents ensemble, la faille devient beaucoup plus concrète.
Les versions Easy Elements à contrôler
Le repère public est la version 1.4.5 et toutes les versions plus anciennes. WordPress.org affiche aussi une fermeture temporaire du plugin depuis le 19 mai 2026. Cette fermeture ne retire pas automatiquement le plugin de ton site. Si Easy Elements est déjà installé, il peut rester actif dans ton tableau de bord et continuer à charger ses widgets.
Tu dois donc contrôler trois choses. La présence du plugin, son statut actif ou inactif, puis les pages Elementor qui utilisent encore ses widgets. Un plugin désactivé ne rend plus ses widgets, mais un plugin inactif et oublié reste un mauvais signal de maintenance. Si le plugin n a plus d utilité réelle, supprime le dossier après sauvegarde.
| Situation | Risque | Action utile |
|---|---|---|
| Easy Elements 1.4.5 ou moins actif | Version concernée | Désactiver puis vérifier les comptes |
| Widget Login Register publié | Formulaire exposé au public | Retirer le widget et couper les inscriptions |
| Plugin fermé dans le répertoire | Mise à jour incertaine | Surveiller une version corrigée ou remplacer l addon |
| Compte admin inconnu | Compromission possible | Révoquer, analyser, changer les accès |
Ce que tu dois couper tout de suite
Commence par l inscription publique. Va dans Réglages puis Général, puis vérifie si tout le monde peut s inscrire. Si tu n as pas besoin d ouvrir les inscriptions, coupe ce réglage. Ce seul geste ne remplace pas le nettoyage, mais il réduit l exposition pendant que tu contrôles le reste.
Ouvre ensuite Elementor et cherche les pages qui utilisent Easy Elements. Le widget Login Register doit sortir des pages publiques tant que tu n as pas une version corrigée et confirmée. Si le formulaire servait vraiment, remplace le par une solution maintenue, avec un contrôle de rôle côté serveur et une protection anti abus correcte.
Après ça, désactive Easy Elements. Si le site fonctionne sans lui, supprime le plugin. Si sa suppression casse une page, corrige la page plutôt que de garder une extension fermée et vulnérable. Un addon de design ne doit pas devenir le point faible qui donne un accès admin.
wp plugin list --status=active
wp plugin get easy-elements --field=version
wp option get users_can_register
wp user list --role=administrator
Ces commandes te donnent une première lecture si tu as WP CLI. Sans WP CLI, fais le même contrôle depuis le tableau de bord WordPress, ton hébergeur ou une sauvegarde récente. L objectif est de trouver vite si le plugin est là, si l inscription est ouverte et si la liste des administrateurs contient un nom inattendu.
Comptes admin et traces à vérifier
La création d un compte administrateur laisse souvent des traces. Regarde les utilisateurs triés par date, les emails inconnus, les noms proches de mots techniques, les comptes sans avatar, les profils qui n ont jamais écrit de contenu et les administrateurs qui ne correspondent à aucun membre de ton équipe. Ne supprime pas trop vite si tu dois garder des preuves. Commence par changer le rôle, révoquer les sessions et noter les infos.
Regarde ensuite les journaux HTTP autour du 19 mai 2026 et des jours qui suivent. Les signaux utiles sont des appels vers admin-ajax.php, des requêtes liées à eel_register, des IP qui chargent seulement la page de connexion ou d inscription, puis une création de compte dans la même fenêtre de temps. Tu n as pas besoin de rejouer quoi que ce soit pour vérifier. Les logs suffisent à repérer un enchaînement douteux.
Vérifie aussi les changements faits après la création d un compte suspect. Extensions installées, thème modifié, fichier PHP récent, compte SMTP ajouté, redirection SEO, nouvelle page publiée sans validation, option admin changée, webhook inconnu. Un accès admin ne sert pas toujours à casser le site tout de suite. Il peut servir à garder un accès discret.
- Dans Utilisateurs nouveaux administrateurs et emails inconnus.
- Dans les logs appels vers admin-ajax.php et action eel_register.
- Dans Elementor pages avec le widget Login Register.
- Dans Extensions nouveaux plugins ou extensions réactivées.
- Dans SEO titres, redirections et pages ajoutées sans validation.
Le lien avec les autres alertes WordPress récentes
Cette faille Easy Elements s ajoute à une série de vulnérabilités WordPress où le front public sert de surface exposée. Le site a déjà traité Temporary Login WordPress, Burst Statistics et BookingPress Pro. Le même réflexe revient à chaque fois. Tu corriges la version, puis tu cherches les effets possibles.
Ici, le point d impact est le rôle utilisateur. Sur d autres alertes, il s agissait de fichier uploadé, de session imitée, de données exportées ou de réglage modifié. Dans tous les cas, le clic sur mise à jour ne montre pas ce qui s est passé avant. Si un attaquant a obtenu un compte admin, la vulnérabilité d origine peut être seulement la première étape technique.
Tu peux compléter le contrôle avec les bases déjà publiées sur Leclerc Web autour du fichier index.php piraté, des permissions CHMOD WordPress et du piratage SEO par cloaking. Ces vérifications restent très utiles quand un compte administrateur non prévu a pu exister, même pendant peu de temps.
Plan de remise au propre
Avance dans l ordre. Sauvegarde le site et la base. Désactive Easy Elements. Coupe l inscription publique si elle n est pas nécessaire. Retire les widgets Login Register. Vérifie les comptes administrateurs. Change les mots de passe des admins légitimes. Révoque les sessions. Mets à jour tout ce qui touche Elementor, les addons, le thème et les plugins de membres.
Ensuite, passe au contrôle des fichiers. Regarde les fichiers modifiés depuis une semaine dans wp-content, avec une attention spéciale sur uploads, mu-plugins, le thème actif et les extensions récemment installées. Un compte admin peut déposer une extension discrète, modifier un fichier de thème ou installer un outil qui ne porte pas un nom inquiétant.
Contrôle aussi la Search Console. Si le site a servi à créer du spam ou des redirections, tu peux voir des pages étranges, des requêtes hors sujet, des erreurs de sécurité ou des URLs inconnues dans l indexation. Ne te contente pas de l apparence de la page d accueil. Un site peut afficher une page d accueil propre tout en gardant des pages toxiques indexées.
Mon avis franc
Easy Elements for Elementor n est pas le genre d extension que tu dois garder par habitude si elle ne sert plus. Le plugin est fermé dans le répertoire, la faille publiée touche la création de compte et le scénario peut aller jusqu au rôle administrateur quand les conditions sont réunies. Pour un addon Elementor, le rapport risque utilité devient vite mauvais.
Si tu l utilises encore, traite le sujet aujourd hui. Coupe les inscriptions, enlève le widget Login Register, désactive l extension, puis relis les administrateurs et les logs. Si tu trouves un compte bizarre, passe du mode mise à jour au mode incident. Tu gagnes du temps en partant de cette idée simple. Un compte admin inconnu n est jamais un détail.
FAQ Easy Elements Elementor
Quelle version de Easy Elements for Elementor est concernée
Easy Elements for Elementor 1.4.5 et les versions plus anciennes sont concernées par CVE-2026-9018.
Quel réglage WordPress faut il vérifier en premier
Vérifie si tout le monde peut s inscrire dans Réglages puis Général. Si tu n utilises pas les inscriptions publiques, coupe ce réglage.
Pourquoi le widget Login Register est sensible
Ce widget peut exposer un formulaire d inscription public. Avec une version vulnérable, ce chemin peut permettre une élévation de privilèges.
Que faire si un compte admin inconnu existe
Change son rôle, révoque ses sessions, garde les traces, vérifie les fichiers récents et renouvelle les accès des vrais administrateurs.
