Две недавно обнаруженные уязвимости в плагине Avada Builder поставили под угрозу функционирование около миллиона WordPress-сайтов из-за возможных атак с произвольным чтением файлов и SQL-инъекций.
Согласно анализу Wordfence, опубликованному 12 мая, уязвимости были раскрыты независимым исследователем Рафи Мухаммадом 21 марта в рамках программы Wordfence Bug Bounty Program.
Уязвимости в SVG-шорткоде и карточках записей
Первая проблема, отслеживаемая как CVE-2026-4782, представляет собой уязвимость произвольного чтения файлов, оцененную в 6,5 баллов по системе оценки CVSS.
Она находится в функции fusion_get_svg_from_file, которая вызывается через шорткод fusion_section_separator при указании параметра custom_svg.
Функция не выполняла валидацию файлового типа или источника, а потому авторизованные пользователи с уровнем подписчика (subscriber) могли использовать ее для чтения конфиденциальных файлов на сервере. К ним относится и wp-config.php, содержащий учетные данные БД WordPress, криптографические ключи и соли.
Вторая уязвимость, CVE-2026-4798, представляет собой более серьезную неаутентифицированную SQL-инъекцию в product_order; рейтинг ее составляет 7.5 (высокая опасность).
Хотя плагин вызывает функцию sanitize_text_field() для входных данных, она не защищает от SQL-инъекций. Окружающий оператор ORDER BY добавляется в запрос без использования экранирующей WP-функции prepare().
Уязвимость может эксплуатироваться только на сайтах, где был ранее установлен и деактивирован WooCommerce.
Раскрытие проблемы и сроки выпуска патча
Компания Wordfence предоставила команде Avada полную информацию об уязвимостях 24 и 25 марта, и в тот же день они начали работать над патчем.
Первоначальный патч 3.15.2 вышел 13 апреля. Полный патч 3.15.3 – 12 мая.
WordPress настоятельно призывает владельцев сайтов установить это обновление. Администраторы сайтов также могут рассмотреть следующие меры защиты, учитывая характер найденных уязвимостей:
- аудит аккаунтов подписчиков, созданных в период раскрытия информации;
- смена учетных данных, хранящихся в wp-config.php, при подозрении на компрометацию;
- проверка необычного трафика admin-ajax.php, ссылающегося на затронутый шорткод.
Это уже не первый случай отлова уязвимостей в Avada Builder.
Источник: https://www.infosecurity-magazine.com
