Популярният WordPress плъгин Avada Builder, използван от приблизително един милион активни уебсайта, съдържа две сериозни уязвимости, които могат да позволят на атакуващи да четат чувствителни файлове от сървъра и да извличат информация директно от базата данни.

Проблемите засягат сайтове, използващи плъгина заедно с темата Avada – една от най-популярните premium WordPress теми в света.

Две различни уязвимости с висок риск

Първата уязвимост е проследявана като CVE-2026-4782 и позволява произволно четене на файлове (arbitrary file read). Тя засяга всички версии на Avada Builder до 3.15.2 включително.

Според анализа атакуващ с минимум subscriber-level акаунт може да използва недостатъчна валидация в shortcode rendering функционалността на плъгина, свързана с параметъра custom_svg.

Това позволява достъп до чувствителни файлове на сървъра, включително:

• wp-config.php
• конфигурационни файлове
• криптографски ключове
• database credentials

Файлът wp-config.php е особено критичен, тъй като съдържа данните за достъп до WordPress базата данни и ключове за сигурност. Компрометирането му може да доведе до:

• превземане на администраторски акаунт
• пълен контрол над сайта
• внедряване на зловреден код
• кражба на потребителски данни

SQL injection без нужда от автентикация

Втората уязвимост – CVE-2026-4798 – представлява time-based blind SQL injection.

Тя засяга версиите на Avada Builder до 3.15.1 и позволява на неавтентикирани нападатели да извличат чувствителна информация от базата данни.

Проблемът произлиза от недостатъчна защита на параметъра product_order, който се подава към SQL ORDER BY заявка без правилна подготовка и филтриране.

Чрез експлоатация атакуващите могат да извлекат:

• password hashes
• потребителски данни
• административна информация
• съдържание от базата данни

Уязвимостта зависи от WooCommerce

SQL injection атаката има специфично условие за експлоатация – сайтът трябва в даден момент да е използвал WooCommerce, след което плъгинът да е бил деактивиран, но неговите таблици в базата данни да са останали налични.

Макар това да ограничава броя на потенциално засегнатите инсталации, рискът остава сериозен, тъй като много WordPress администратори деактивират WooCommerce без да премахват базовите таблици.

Изследователят е получил bug bounty награда

Двете уязвимости са открити от изследователя по сигурността Рафие Мухамад чрез програмата Wordfence Bug Bounty Program.

За откритията той е получил:

• $3386 за arbitrary file read уязвимостта
• $1067 за SQL injection проблема

Поправките вече са налични

Уязвимостите са докладвани на 24 март на разработчиците на Avada Builder.

На 13 април е публикувана частична поправка във версия 3.15.2, а напълно коригираната версия 3.15.3 е издадена на 12 май.

Администраторите на засегнати сайтове трябва незабавно да обновят до версия 3.15.3.

Защо рискът е сериозен

Макар първата уязвимост да изисква subscriber акаунт, това не се счита за сериозна пречка, тъй като много WordPress сайтове позволяват публична регистрация на потребители.

Комбинацията от file read и SQL injection уязвимости може да позволи на атакуващите:

• кражба на credentials
• пълно превземане на WordPress сайтове
• разпространение на malware
• SEO spam кампании
• supply-chain атаки срещу посетители

WordPress екосистемата остава една от най-честите цели за масови автоматизирани атаки, особено когато става дума за популярни premium теми и builder плъгини с голям брой инсталации.