Krytyczna luka RCE w wtyczce Avada Builder dla WordPress (CVE-2026-6279)
Krytyczna luka w Avada Builder do WordPress umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Zalecane szybkie aktualizacje i monitorowanie.
- CVSS
- 9.8 CRITICAL
- EPSS
- 80%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Avada Builder (fusion-builder) do WordPressa do wersji 3.15.2 jest podatna na zdalne wykonanie kodu bez uwierzytelnienia poprzez wstrzyknięcie funkcji PHP. Luka wynika z braku walidacji danych przekazywanych do funkcji call_user_func() w module obsługującym AJAX, co umożliwia atakującym wykonanie dowolnego kodu.
Wpływ biznesowy
Podatność umożliwia nieautoryzowanym osobom zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad stroną, kradzieży danych lub dalszych ataków. Właściciele stron korzystających z tej wtyczki powinni traktować zagrożenie jako krytyczne i priorytetowo podjąć działania zabezpieczające.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Avada Builder i ich zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję endpointu AJAX, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie funkcji korzystających z elementów Post Cards i Table of Contents. Priorytetowo należy wdrożyć środki zapobiegające nieautoryzowanemu dostępowi i regularnie przeglądać bezpieczeństwo środowiska.