Krytyczna luka wtyczki Avada Builder dla WordPress umożliwia usuwanie plików

Krytyczna luka w wtyczce Avada Builder dla WordPress pozwala na usuwanie plików i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-8713CVSS 9.1Web

Krytyczna luka wtyczki Avada Builder dla WordPress umożliwia usuwanie plików

Krytyczna luka w wtyczce Avada Builder dla WordPress pozwala na usuwanie plików i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.1 CRITICAL
EPSS
64.24%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Avada (Fusion) Builder dla WordPress do wersji 3.15.3 zawiera krytyczną lukę umożliwiającą nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze poprzez niewystarczającą walidację ścieżek plików. Atak może prowadzić do zdalnego wykonania kodu, np. przez usunięcie pliku wp-config.php.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla właścicieli stron opartych na WordPress z wtyczką Avada Builder, gdyż umożliwia atakującym usunięcie kluczowych plików systemowych, co może skutkować przejęciem kontroli nad serwerem. Może to prowadzić do przerw w działaniu usług, utraty danych oraz naruszenia bezpieczeństwa całej infrastruktury IT.

Rekomendowane działania administratora

Administratorzy powinni niezwłocznie zweryfikować wersję wtyczki Avada Builder i zaktualizować ją do najnowszej dostępnej wersji po wydaniu poprawki przez producenta. Zaleca się ograniczenie dostępu do formularzy Avada, monitorowanie logów pod kątem podejrzanych żądań oraz rozważenie tymczasowego wyłączenia funkcji zapisu wpisów do bazy danych, jeśli to możliwe. Warto również przeprowadzić audyt bezpieczeństwa i przygotować plan reakcji na incydenty.

Źródła