Faille sur Beaver Builder : quand un abonné peut modifier vos articles

Bon, autant vous le dire tout de suite : si vous utilisez Beaver Builder Lite sur votre site WordPress et que vous n’avez pas encore fait la mise à jour, vous jouez avec le feu.

Je m’appelle Thierry Pigot, je suis chez WP Assistance, et ça fait plus de dix ans que je me frotte à Beaver Builder – ses forces, ses limites, ses coups de sang. Et là, on a un beau cas d’école : une faille bien vicieuse, facile à exploiter, et sournoise au possible.

Ce qui cloche dans Beaver Builder Lite

Techniquement, on appelle ça une faille d’autorisation insuffisante. En clair ? Un utilisateur inscrit en tant que simple abonné peut modifier n’importe quel article du site. Oui, même sans être administrateur. Même sans être éditeur. Juste… inscrit.

La faute à quoi ? Un contrôle de permissions mal foutu dans la version 2.9.4.1 (et celles d’avant 😱). Le plugin ne vérifie pas correctement si la personne a le droit de faire ce qu’elle tente. Résultat : porte ouverte.

Et le pire, c’est que l’exploit n’a rien de technique. Pas besoin d’être un hacker de l’ombre. Suffit de s’inscrire. De connaître deux-trois points d’entrée. Et c’est bingo.

Pourquoi c’est grave, très grave

Je sais ce que vous vous dites : “OK, un abonné peut modifier un article, et alors ?”

Eh bien :

• Il peut remplacer vos contenus par du spam
• Ajouter des liens vers des sites douteux (oui, du casino ou du porno)
• Intégrer du code malicieux, qui injecte ensuite des scripts sur vos pages

Et s’il est malin, il le fait sans que vous le voyiez tout de suite. Ça reste propre en façade, mais votre site sert de relais à des campagnes d’arnaque ou d’hameçonnage.

On parle là d’un plugin installé sur des centaines de milliers de sites. Autant dire que c’est une cible de choix.

La bonne nouvelle (oui, y’en a une)

Les équipes de Beaver Builder ont corrigé la faille dans la version 2.9.4.2. Donc si vous mettez à jour, vous êtes a priori tranquille. Mais :

1. Encore faut-il savoir qu’il y a eu une faille.
2. Encore faut-il faire la mise à jour.
3. Encore faut-il surveiller si quelqu’un ne s’est pas déjà introduit avant.

Et franchement, quand je vois le nombre de sites sous WordPress qui tournent sans vraie maintenance, je sais qu’une bonne partie va rester exposée pendant des semaines, voire des mois.

Ce que je recommande (et que je fais pour mes clients)

Je vais pas faire de long discours. Mon conseil est simple :

• Mettez à jour immédiatement si vous utilisez Beaver Builder Lite
• Passez en revue les comptes abonnés (certains sont peut-être malveillants)
• Vérifiez vos contenus récents : des modifs inattendues ? des liens étranges ?
• Activez une surveillance de sécurité, même basique (Wordfence, ça fait le job)
• Sauvegardez, au cas où vous devriez revenir en arrière

Et surtout : arrêtez de croire que “ça n’arrive qu’aux autres”.

Chez WP Assistance, on fait ça tous les jours. Et ce genre de faille, c’est typiquement ce qu’on anticipe et corrige avant qu’il y ait des dégâts. Pas après.

Mon avis perso (et un brin énervé)

Je l’aime bien, Beaver Builder. Je l’utilise sur des sites clients, je l’ai intégré à des dizaines de projets. Mais là, ça commence à faire beaucoup. Entre les failles, les lenteurs à patcher, et le manque de communication autour des problèmes, on sent que la version “Lite” est moins bichonnée que la version Pro.

Alors oui, je continue à l’utiliser. Mais uniquement avec un filet de sécurité bien tendu.

Ce qu’il faut retenir

• La faille CVE-2025-12934 permet à un simple abonné de modifier vos articles WordPress si vous utilisez Beaver Builder Lite en version 2.9.4.1 ou antérieure.
• La mise à jour vers 2.9.4.2 règle le problème. Faites-la, maintenant.
• Vérifiez vos contenus, vos comptes, vos logs. Un accès non autorisé, ça laisse des traces.
• Si vous n’avez aucun système de maintenance ou de sécurité en place, il est temps de vous en doter. Vraiment.

Besoin d’un coup de main ?

Vous êtes perdus dans les mises à jour ? Pas le temps de surveiller la sécurité de votre site ? Appelez-moi.

On ne vend pas de miracles. Juste une maintenance WordPress sérieuse, des alertes en temps réel, des mises à jour sans prise de tête, et un interlocuteur humain quand vous avez un doute. Moi, en l’occurrence.