O noua vulnerabilitate critica a fost descoperita in Avada (Fusion) Builder, popularul plugin de tip page builder care vine la pachet cu tema Avada, una dintre cele mai utilizate teme premium din ecosistemul WordPress. Problema, identificata drept CVE-2026-8713 si evaluata cu un scor CVSS de 9.1, afecteaza aproximativ un milion de site-uri si permite unui atacator neautentificat sa stearga fisiere arbitrare de pe server, fara a avea nevoie de cont sau de interactiunea unui administrator.
Din punct de vedere tehnic, vulnerabilitatea este de tip path traversal si provine dintr-o validare insuficienta a cailor de fisiere in functia maybe_delete_files, care nu verifica daca fisierul vizat se afla in interiorul directorului permis. Sunt afectate toate versiunile pana la 3.15.3 inclusiv, iar problema a fost corectata in versiunea 3.15.4. Pentru exploatare este necesara o singura conditie: pe site sa existe un formular Avada publicat, configurat sa salveze inregistrarile in baza de date.
Pericolul real apare atunci cand un atacator reuseste sa stearga fisiere esentiale, cum ar fi wp-config.php. Eliminarea acestui fisier readuce instalarea WordPress in starea initiala de configurare, ceea ce poate permite reconfigurarea site-ului cu o baza de date controlata de atacator si, in final, preluarea completa a controlului si executarea de cod la distanta. Pana in acest moment nu au fost observate atacuri active care sa exploateze aceasta vulnerabilitate, insa numarul mare de instalari o transforma intr-o tinta atractiva.
Recomandarea principala pentru administratori este actualizarea imediata a pluginului la versiunea 3.15.4. Pentru site-urile care nu pot fi actualizate pe loc, o masura temporara consta in dezactivarea formularelor Avada publicate care salveaza inregistrari in baza de date. In plus, este indicata verificarea formularelor expuse public si monitorizarea logurilor pentru cereri suspecte sau stergeri neasteptate de fisiere.
Noi, echipa Gazduire.Net, am luat la cunostinta de aceasta vulnerabilitate si facem tot ce tine de noi la nivel de infrastructura, folosind solutii de protectie precum Imunify si LiteSpeed pentru a reduce riscul la nivelul serverelor. Tinem insa sa reamintim ca actualizarea efectiva a pluginului ramane responsabilitatea administratorului sau a designerului fiecarui site. Gazduim zeci de mii de site-uri WordPress, asa ca masura concreta de a instala versiunea 3.15.4 apartine proprietarului fiecarui site.
Incidentul subliniaza inca o data importanta mentinerii la zi a pluginurilor si temelor, in special a celor foarte populare, cu baze mari de instalari, care atrag in mod natural atentia cercetatorilor de securitate, dar si a atacatorilor.
Categorii
- Noutati185
- Oferte5
- Tutoriale117
- Intrebari frecvente73