Критична вразливість RCE в плагіні Avada Builder для WordPress
Вразливість CVE-2026-6279 дозволяє віддалене виконання коду в плагіні Avada Builder WordPress. Рекомендується термінове оновлення та перевірка безпеки.
- CVSS
- 9.8 CRITICAL
- EPSS
- 80%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
Плагін Avada Builder (fusion-builder) для WordPress до версії 3.15.2 містить критичну вразливість віддаленого виконання коду без автентифікації через ін’єкцію PHP-функцій. Уразливість дозволяє зловмисникам виконувати довільний код через AJAX-ендпоінт, доступний для неавторизованих користувачів.
Бізнес-вплив
Вразливість з високим рівнем CVSS 9.8 дозволяє віддаленим атакам без автентифікації виконувати довільний код на сервері, що може призвести до компрометації вебсайту, втрати даних або контролю над інфраструктурою. Власники сайтів на WordPress з цим плагіном повинні розглядати цю загрозу як критичну та пріоритетну для усунення.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень плагіна Avada Builder від розробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до AJAX-ендпоінту fusion_get_widget_markup, перевірити логи на ознаки експлуатації та мінімізувати публічне використання елементів Post Cards та Table of Contents до усунення вразливості.