Dua kerentanan dalam plugin Avada Builder untuk WordPress, dengan perkiraan satu juta instalasi aktif, memungkinkan peretas membaca file sewenang-wenang dan mengekstrak informasi sensitif dari database.
Salah satu kelemahannya dilacak sebagai CVE-2026-4782 dan dapat dieksploitasi di semua versi plugin hingga 3.15.2 oleh pengguna yang diautentikasi dengan setidaknya akses tingkat pelanggan untuk membaca konten file apa pun di server.
Masalah keamanan lainnya menerima pengidentifikasi CVE-2026-4798 dan merupakan injeksi SQL yang dapat dimanfaatkan tanpa autentikasi. Namun, eksploitasi hanya dapat dilakukan jika plugin e-commerce WooCommerce untuk WordPress telah diaktifkan dan kemudian dinonaktifkan.
Avada Builder adalah plugin pembuat halaman web seret dan lepas untuk tema Avada WordPress yang memungkinkan Anda membuat dan menyesuaikan tata letak situs web, bagian konten, dan elemen desain tanpa menulis kode.
Kedua masalah tersebut ditemukan oleh peneliti keamanan Rafie Muhammad, yang melaporkannya melalui Program Bug Bounty Wordfence dan menerima masing-masing $3.386 dan $1.067 atas temuan tersebut.
Wordfence menjelaskan bahwa pembacaan file sewenang-wenang dimungkinkan melalui fungsionalitas rendering kode pendek plugin dan parameter custom_svg. Masalahnya adalah plugin tidak memvalidasi jenis atau sumber file dengan benar, sehingga memungkinkan akses ke file sensitif seperti wp-config.php, yang biasanya berisi kredensial database dan kunci kriptografi.
Akses ke wp-config.php dapat menyebabkan kompromi akun administrator dan pengambilalihan situs secara penuh.
Meskipun kelemahan tersebut mendapat peringkat tingkat keparahan sedang karena memerlukan akses tingkat pelanggan, persyaratan tersebut tidak menjadi penghalang, karena banyak situs WordPress menawarkan pendaftaran pengguna.
Cacat injeksi SQL buta berbasis waktu yang dilacak sebagai CVE-2026-4798 memengaruhi versi Avada Builder hingga 3.15.1. Masalah ini muncul karena input yang dikontrol pengguna dari parameter product_order dimasukkan ke dalam klausa SQL ORDER BY tanpa persiapan kueri yang tepat.
Cacat ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi untuk mengekstrak informasi sensitif dari database situs, termasuk hash kata sandi. Prasyarat untuk mengeksploitasinya adalah menggunakan WooCommerce lalu menonaktifkannya, dan tabel databasenya harus utuh.
Kedua kelemahan tersebut telah diserahkan ke Wordfence pada 21 Maret dan dilaporkan ke penerbit Avada Builder pada 24 Maret. Perbaikan sebagian, versi 3.15.2, dirilis pada 13 April, sedangkan versi 3.15.3 yang telah ditambal sepenuhnya dirilis pada 12 Mei.
Pemilik/admin situs web yang terkena dampak disarankan untuk memperbarui ke Avada Builder versi 3.15.3 sesegera mungkin.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
