Krytyczna luka wtyczki Avada Builder dla WordPress umożliwia usuwanie plików
Krytyczna luka w wtyczce Avada Builder dla WordPress pozwala na usuwanie plików i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.1 CRITICAL
- EPSS
- 64.24%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Avada (Fusion) Builder dla WordPress do wersji 3.15.3 zawiera krytyczną lukę umożliwiającą nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze poprzez niewystarczającą walidację ścieżek plików. Atak może prowadzić do zdalnego wykonania kodu, np. przez usunięcie pliku wp-config.php.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress z wtyczką Avada Builder, gdyż umożliwia atakującym usunięcie kluczowych plików systemowych, co może skutkować przejęciem kontroli nad serwerem. Może to prowadzić do przerw w działaniu usług, utraty danych oraz naruszenia bezpieczeństwa całej infrastruktury IT.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie zweryfikować wersję wtyczki Avada Builder i zaktualizować ją do najnowszej dostępnej wersji po wydaniu poprawki przez producenta. Zaleca się ograniczenie dostępu do formularzy Avada, monitorowanie logów pod kątem podejrzanych żądań oraz rozważenie tymczasowego wyłączenia funkcji zapisu wpisów do bazy danych, jeśli to możliwe. Warto również przeprowadzić audyt bezpieczeństwa i przygotować plan reakcji na incydenty.