Vulnerabilidades no plugin Avada Builder para WordPress expõem dados
Duas vulnerabilidades críticas foram identificadas no plugin Avada Builder para WordPress, que possui cerca de um milhão de instalações ativas. A primeira, identificada como CVE-2026-4782, permite que usuários autenticados com nível de acesso de assinante leiam arquivos arbitrários no servidor, incluindo o wp-config.php, que contém credenciais sensíveis do banco de dados. A segunda vulnerabilidade, CVE-2026-4798, é uma injeção SQL que pode ser explorada por atacantes não autenticados, desde que o plugin WooCommerce tenha sido ativado e depois desativado. Essa falha permite a extração de informações sensíveis do banco de dados, como hashes de senhas. Ambas as vulnerabilidades foram descobertas pelo pesquisador de segurança Rafie Muhammad e reportadas ao programa de recompensas da Wordfence. A atualização para a versão 3.15.3 do Avada Builder é altamente recomendada para mitigar esses riscos. O impacto potencial é significativo, pois a exploração dessas falhas pode levar a um comprometimento total do site, afetando a segurança e a privacidade dos dados dos usuários.