Slider Revolution 7 faille CVE-2026-6692 que vérifier

Publié le - 7 mai 2026

coco sécurité, WordPress
interface de sécurité WordPress avec alerte Slider Revolution 7 et upload de fichier surveillé
5/5 - (1 vote)

Slider Revolution 7 fait partie des plugins que beaucoup de sites gardent parce que tout semble rouler. Sauf que la faille CVE-2026-6692 change le niveau de risque si ton site utilise une version 7.0.0 à 7.0.10. Wordfence a publié la fiche le 6 mai 2026, avec un score CVSS 8.8 et un point qui demande une action rapide. Un compte abonné peut suffire.

La vulnérabilité touche le téléversement de fichiers via les fonctions _get_media_url et _check_file_path. Le souci vient d’une validation trop faible du type de fichier. En clair, un utilisateur connecté avec un rôle très bas peut tenter d’envoyer un fichier qui ne devrait jamais arriver sur ton serveur. Si ce fichier devient exécutable, la suite peut tourner à la prise de contrôle.

Pas besoin de faire compliqué pour le premier tri. Si tu as Slider Revolution 7, tu vérifies la version. Si tu vois 7.0.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5, 7.0.6, 7.0.7, 7.0.8, 7.0.9 ou 7.0.10, tu passes en 7.0.11 ou plus récent. Ensuite, tu contrôles les utilisateurs, les fichiers récents et les logs.

Ce que tu dois retenir
  • Slider Revolution 7.0.0 à 7.0.10 est touché par CVE-2026-6692.
  • La faille permet un upload de fichier arbitraire avec un compte abonné ou plus.
  • Le score CVSS 3.1 est de 8.8, donc niveau élevé.
  • La version 7.0.10 a reçu un correctif partiel.
  • La version 7.0.11 est la version corrigée à viser au minimum.

La faille CVE-2026-6692 en clair

Slider Revolution sert à créer des sliders, carrousels, modules visuels, blocs animés et zones de contenu dynamiques dans WordPress. Le plugin manipule donc des médias, des sources d’images, des modules et des réglages stockés côté serveur. Quand un défaut touche la gestion des fichiers, le sujet dépasse le simple bug d’affichage.

Dans le cas CVE-2026-6692, l’attaquant doit être authentifié. Ce détail peut sembler rassurant. En réalité, le niveau demandé commence au rôle abonné. Sur un site avec inscription ouverte, espace client, WooCommerce, forum, LMS, espace membre ou formulaire qui crée des comptes, ce n’est pas une barrière forte. Un compte jetable peut suffire pour lancer des tests.

Le danger vient du couple _get_media_url et _check_file_path. Ces fonctions interviennent dans le traitement des médias et des chemins de fichier. Si le contrôle du type de fichier laisse passer un format dangereux, un fichier PHP ou un fichier préparé pour l’exécution peut se retrouver là où il ne devrait pas.

Si ton site autorise l’inscription libre, le rôle abonné n’est pas une vraie protection. Tu dois traiter cette faille comme un risque côté serveur tant que Slider Revolution n’est pas corrigé.

Les versions de Slider Revolution à vérifier

La fiche Wordfence indique que les versions 7.0.0 à 7.0.10 sont concernées. Le changelog officiel de Slider Revolution mentionne aussi, dans la version 7.0.10 du 22 avril 2026, un correctif lié à _get_media_url. Wordfence précise que ce correctif était partiel et que la correction complète arrive en 7.0.11.

Tu peux donc avoir une situation un peu piégeuse. Ton tableau de bord affiche une version qui semble récente, mais elle reste dans la plage touchée. La bonne question n’est pas seulement de savoir si une mise à jour a été faite récemment. La bonne question est de savoir si la version installée est au moins 7.0.11.

Version installée Statut Action utile
7.0.0 à 7.0.9 Vulnérable Mise à jour immédiate puis contrôle serveur
7.0.10 Correctif partiel Passer en 7.0.11 ou plus récent
7.0.11 Correctif complet annoncé Vérifier les traces si la version vulnérable a tourné
7.0.12 ou plus récent Version plus fraîche Garder le contrôle après mise à jour

Pourquoi un compte abonné peut suffire

Sur WordPress, le rôle abonné paraît léger. Il peut souvent lire son profil, modifier quelques infos personnelles et accéder à des zones fermées. Pour une faille de téléversement, ce niveau peut pourtant devenir gênant si le plugin expose une action accessible à tout utilisateur connecté.

Regarde ton site avec une question simple. Est-ce que n’importe quel visiteur peut créer un compte. Si oui, la condition authentifiée ne bloque pas grand-chose. Même si l’inscription n’est pas publique, un vieux compte client, un compte test oublié ou un compte prestataire trop large peut donner l’accès minimum nécessaire.

Sur un WooCommerce, par exemple, un client inscrit n’est pas censé pouvoir envoyer du code sur le serveur. Sur un LMS, un élève non plus. Sur un site membre, un lecteur non plus. La faille rend ce rôle bien plus sensible, avec un contrôle à faire côté fichiers et pas seulement dans les permissions visibles de l’admin.

Astuce rapide
Va dans Utilisateurs, filtre les abonnés créés depuis début mai 2026, puis regarde les adresses e-mail bizarres, les comptes jamais utilisés et les inscriptions en rafale.

Le risque réel côté serveur WordPress

Un upload de fichier arbitraire devient sérieux quand le fichier peut être exécuté. Le scénario le plus redouté reste le dépôt d’un script PHP. Une fois accessible depuis le navigateur, ce script peut lancer des commandes, écrire d’autres fichiers, ajouter une porte dérobée, modifier un thème, créer un admin ou injecter du spam SEO.

Tout dépend de la configuration serveur. Certains hébergements bloquent l’exécution PHP dans wp-content/uploads. D’autres laissent encore passer trop de choses. Même si l’exécution directe est bloquée, un fichier déposé peut servir de point d’appui pour une autre attaque, surtout si le site a déjà d’autres faiblesses.

Ne te limite donc pas à regarder si la page d’accueil fonctionne. Un site compromis peut rester propre côté affichage public. Les vrais signaux se trouvent souvent dans les comptes inconnus, les fichiers récents, les tâches cron, les redirections discrètes, les options WordPress modifiées ou les pages vues par Google.

wp plugin get revslider --field=version
wp user list --role=administrator --fields=ID,user_login,user_email,user_registered
find wp-content -type f -mtime -10

La version 7.0.11 règle le problème

La première action reste simple. Mets Slider Revolution à jour en 7.0.11 au minimum. Si une version plus récente est disponible dans ton compte ou dans le tableau de bord, prends la plus récente. Sur un plugin premium, vérifie aussi que la licence est active. Une licence expirée peut bloquer les mises à jour et laisser un site sur une branche vulnérable.

Avant de cliquer en production, fais une sauvegarde. Pas pour repousser la mise à jour pendant trois jours. Juste pour pouvoir revenir proprement si un module casse. Slider Revolution 7 a changé beaucoup de choses dans son éditeur et ses modules. Certains sites chargent le slider dans la page d’accueil, dans Elementor, dans Divi, dans un thème premium ou dans un template WooCommerce. Un test rapide évite une mauvaise surprise visuelle.

Après la mise à jour, vide les caches. Cache WordPress, cache serveur, CDN, objet persistant si tu en as un. Puis ouvre les pages qui affichent les sliders. Tu veux vérifier deux choses. Le rendu doit rester correct, et les requêtes vers le plugin ne doivent plus déclencher d’erreurs.

Ce que tu dois faire maintenant

Tu peux gérer l’urgence avec une séquence courte. D’abord, tu identifies la version. Ensuite, tu mets à jour. Puis tu fais les contrôles qui prouvent que la faille n’a pas déjà laissé une trace. Là, pas besoin de tout inspecter en vrac. Tu avances par ordre.

  1. Vérifie la version installée de Slider Revolution.
  2. Passe en 7.0.11 ou plus récent.
  3. Contrôle les comptes administrateurs et abonnés récents.
  4. Liste les fichiers modifiés depuis dix jours dans wp-content.
  5. Cherche les fichiers PHP inattendus dans les dossiers médias.
  6. Regarde les logs autour des appels au plugin et des uploads.
  7. Vide les caches puis teste les pages qui utilisent un slider.

Si tu gères plusieurs sites, fais un inventaire au lieu de passer site par site au hasard. Un export de plugins avec version te donne vite la liste des installations à corriger. Les sites avec inscription ouverte sont à traiter en premier.

  • Premier réflexe Identifier toutes les installations avec revslider.
  • Deuxième réflexe Corriger en 7.0.11 ou plus récent.
  • Troisième réflexe Chercher les comptes et fichiers ajoutés après la période vulnérable.
  • Quatrième réflexe Garder une trace des logs avant rotation.

Ce qu’il faut surveiller après la mise à jour

Une mise à jour corrige la faille connue. Elle ne prouve pas que le site était propre avant le patch. Tu dois vérifier les traces restantes, pas seulement le numéro de version.

Dans les fichiers, cherche les noms récents, les extensions étranges, les fichiers PHP dans des dossiers médias et les lignes qui contiennent base64_decode, eval, shell_exec ou des appels distants. Ces mots ne prouvent pas toujours une infection, mais ils méritent une lecture attentive quand ils apparaissent dans un fichier qui ne devrait contenir que des médias.

grep -R "base64_decode\|eval\|shell_exec\|_get_media_url\|_check_file_path" wp-content

Dans les logs, regarde les requêtes faites par des utilisateurs connectés avec un rôle bas. Surveille les appels répétés à l’admin Ajax, les erreurs 500, les uploads inhabituels, les chemins contenant revslider et les réponses longues. Si tu as un WAF, exporte les alertes autour du 6 mai 2026 et des jours suivants.

signes de piratage WordPress par Wordfence

Le maillage utile pour ton audit WordPress

Cette faille Slider Revolution rejoint le dossier récent sur Smart Slider 3 Pro compromis. Les deux sujets touchent des plugins visuels que beaucoup de sites gardent en production parce qu’ils sont liés au design.

Si ton audit remonte des comptes ou des fichiers bizarres, l’article sur Essential Plugin WordPress piraté te donne une méthode utile pour contrôler wp-config.php, les modules douteux et les traces visibles côté Google.

Pour la couche serveur, garde aussi sous la main CVE 2026 41940 cPanel et WordPress. Si le site commence à afficher des pages hors sujet dans Google, relis le sujet sur le piratage par mots clés japonais WordPress. Et si tes comptes restent trop exposés, renforce les accès avec notre méthode pour protéger WordPress des attaques brute force.

FAQ Slider Revolution 7

Slider Revolution 7.0.10 est il vulnérable

Oui. Wordfence indique que 7.0.10 fait partie des versions touchées. Le correctif complet est annoncé en 7.0.11.

Faut il supprimer Slider Revolution après la mise à jour

Pas forcément. Mets à jour en 7.0.11 ou plus récent, puis vérifie comptes, fichiers et logs si une version vulnérable a tourné.

Un simple abonné peut il exploiter CVE-2026-6692

Oui, la fiche Wordfence parle d’un attaquant authentifié avec un rôle abonné ou plus. Les sites avec inscription ouverte doivent réagir vite.