13 мая 2026 года исследователь безопасности daroo сообщил о критической уязвимости в премиум-плагине Avada Builder для WordPress. Уязвимость, получившая идентификатор CVE-2026-8713, позволяет неавторизованным злоумышленникам удалять произвольные файлы на сервере. Плагин используется примерно на миллионе сайтов.
Уязвимость CVE-2026-8713
Проблема связана с недостаточной проверкой путей в функции maybe_delete_files модуля работы с формами. Avada Builder включает конструктор форм, который позволяет сохранять отправленные данные в базу данных, а также поддерживает автоматическую очистку записей по истечении заданного срока. Когда запускается процедура очистки или администратор вручную удаляет запись, плагин обращается к сохранённому значению поля. Если это значение содержит URL, указывающий на каталог загрузок плагина, происходит замена префикса URL на локальный путь и удаление файла. Поскольку функция не выполняет проверку на обход директории (path traversal), злоумышленник может подставить в поле формы строку вида "http://victim[.]com/wp-content/uploads/fusion-forms/../../../../wp-config.php". При удалении записи такой путь преобразуется в реальный путь к конфигурационному файлу WordPress, и "wp-config.php" будет стёрт.
Атака не требует предварительной аутентификации. Для её реализации необходимо, чтобы на сайте была опубликована форма Avada с опцией сохранения записей в базу. Злоумышленник отправляет форму, содержащую специально сформированное текстовое поле, одновременно манипулируя дополнительными параметрами ("fusion_privacy_expiration_interval" и "privacy_expiration_action"), чтобы принудительно запустить немедленное удаление записи. Таким образом, обработчик очистки (shutdown-hook Fusion_Form_DB_Privacy) автоматически обрабатывает внедрённую запись без участия администратора.
После удаления "wp-config.php" установка WordPress переходит в режим начальной настройки. Злоумышленник может перенаправить сайт на свою базу данных и получить полный контроль над установкой, включая установку вредоносных плагинов и тем с исполняемым PHP-кодом. Это приводит к удалённому выполнению команд (RCE) и полной компрометации сайта.
Команда Wordfence подтвердила работоспособность PoC-эксплойта и 15 мая передала полные детали разработчикам Avada через портал управления уязвимостями. Разработчик оперативно отреагировал и 19 мая предоставил патч. Полностью исправленная версия плагина 3.15.4 была выпущена 2 июня 2026 года. Пользователям настоятельно рекомендуется обновить Avada Builder до последней версии.
Уязвимости такого класса - произвольное удаление файлов без аутентификации - представляют серьёзную угрозу для владельцев сайтов, поскольку позволяют злоумышленнику без сложных технических действий полностью вывести ресурс из строя или захватить управление. Данный случай вновь подтверждает важность многоуровневой защиты: своевременного обновления плагинов, использования средств веб-приложений с функциями предотвращения атак и участия в программах баг-баунти для повышения общего уровня безопасности экосистемы WordPress.
Ссылки
