Сразу два опасных дефекта обнаружены в популярном плагине Avada Builder для системы управления контентом WordPress. Этот инструмент для создания страниц установлен примерно на одном миллионе сайтов по всему миру. Исследователи из компании Wordfence, занимающейся кибербезопасностью, выявили уязвимости, которые позволяют злоумышленникам читать любые файлы на сервере и извлекать конфиденциальную информацию из базы данных. В связи с этим специалисты настоятельно рекомендуют администраторам как можно скорее обновить плагин до версии 3.15.3.
Детали уязвимостей
Первая уязвимость, получившая идентификатор CVE-2026-4782 (Common Vulnerabilities and Exposures - международный каталог известных проблем безопасности), связана с возможностью произвольного чтения файлов. Её эксплуатация доступна аутентифицированным злоумышленникам, имеющим уровень доступа подписчика или выше. Иными словами, любой зарегистрированный пользователь сайта может прочитать содержимое любого файла на сервере. В частности, это касается файла wp-config.php, где хранятся учётные данные для подключения к базе данных, а также ключи шифрования. Согласно шкале CVSS (Common Vulnerability Scoring System - общепринятая система оценки критичности уязвимостей), данная проблема получила 6,5 балла из десяти, что соответствует среднему уровню опасности.
Корень проблемы кроется в функции "fusion_get_svg_from_file", которая используется для загрузки SVG-изображений в шорткоде (коротком коде для вставки элементов) "fusion_section_separator". Злоумышленник может указать в параметре "custom_svg" путь к любому файлу, и плагин прочитает его без какой-либо проверки типа или источника. Более того, защитный одноразовый токен - нонс, который должен ограничивать выполнение шорткодов через AJAX-запросы, в уязвимой версии доступен для получения любым аутентифицированным пользователем. В результате подписчик может выполнить произвольный шорткод и, следовательно, прочитать любой файл на сервере.
Вторая уязвимость, зарегистрированная как CVE-2026-4798, представляет собой SQL-инъекцию (внедрение вредоносного SQL-кода в запросы к базе данных). Её оценка по шкале CVSS составляет 7,5 балла - высокий уровень опасности. Что особенно тревожно, для эксплуатации данной проблемы не требуется аутентификация. Любой посетитель сайта может отправить специально сформированный запрос и получить доступ к данным, хранящимся в базе, например к хешам паролей пользователей. Однако есть важное ограничение: уязвимость срабатывает только в том случае, если на сайте ранее был установлен и затем деактивирован плагин WooCommerce (популярное решение для интернет-магазинов). Тем не менее, учитывая масштабы использования WooCommerce, риск остаётся значительным.
Суть уязвимости в том, что параметр "product_order", передаваемый в функцию "post_query" для сортировки карточек товаров, не проходит должную санитарную обработку. Хотя разработчики применили функцию "sanitize_text_field", она не обеспечивает защиту от SQL-инъекций. В итоге злоумышленник может модифицировать SQL-запрос, добавляя в него команды с задержкой времени - так называемая time-based blind SQL-инъекция. Этот метод заключается в использовании оператора "SLEEP()" и условных конструкций, что позволяет по времени ответа сервера извлекать данные побитово. Процесс трудоёмкий, но вполне реальный для опытного нарушителя.
Обе уязвимости обнаружил и ответственно сообщил о них исследователь Рафи Мухаммад. Он участвовал в программе Bug Bounty от Wordfence. За отчёт о произвольном чтении файлов он получил вознаграждение в размере 3 386 долларов, а за SQL-инъекцию - 1 067 долларов. Компания Wordfence заявила, что такие вложения в поиск уязвимостей являются частью их стратегии многоуровневой защиты экосистемы WordPress.
Разработчик плагина Avada Builder выпустил первое частичное исправление 13 апреля 2026 года (версия 3.15.2), а полное - 12 мая 2026 года (версия 3.15.3). Сейчас актуальной считается именно версия 3.15.3. Специалисты настоятельно просят всех владельцев сайтов проверить версию плагина и при необходимости обновить её незамедлительно, учитывая серьёзность выявленных дефектов.
В заключение стоит подчеркнуть, что подобные инциденты - лишнее напоминание о важности своевременного обновления компонентов сайта. Даже если вы не используете WooCommerce, наличие уязвимости произвольного чтения файлов даёт злоумышленнику ключи от всего сервера. А возможность SQL-инъекции, пусть и с ограничениями, делает сайт мишенью для тех, кто ищет устаревшие компоненты. Поэтому проверьте версию Avada Builder прямо сейчас - это может спасти ваши данные.
Ссылки
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/fusion-builder/avada-builder-3151-unauthenticated-sql-injection-via-product-order-parameter
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/fusion-builder/avada-builder-3152-authenticated-subscriber-arbitrary-file-read-via-custom-svg-shortcode-parameter
