В Avada Builder закрыли две уязвимости: под риском около миллиона WordPress-сайтов

Исследователь Rafie Muhammad передал в Wordfence два отчёта 21 марта 2026 года в рамках программы Wordfence Bug Bounty Program. Проверка подтвердила обе проблемы: баг с чтением файлов и SQL-инъекцию. Разработчику Avada детали отправили 24–25 марта, первый патч вышел 13 апреля, а полностью исправленная версия — 12 мая. За находки исследователь получил две выплаты: $3 386 и $1 067.

Avada Builder — визуальный конструктор страниц для WordPress, который входит в экосистему Avada. Его используют сайты на базе Avada Theme: лендинги, корпоративные сайты, магазины, медиа и небольшие проекты без собственной команды разработки. Большой масштаб установки и типичная привычка WordPress-админов откладывать обновления делают такие баги особенно неприятными. Уязвимый плагин может стоять на сайте годами, а владелец узнаёт о проблеме только после подозрительных редиректов, спама, новых админов или жалобы хостинга.

CVE-2026-4782 затрагивает Avada Builder до версии 3.15.2 включительно. Исправление — 3.15.3. Уязвимость получила CVSS 6.5 у Wordfence и классификацию Arbitrary File Read / Arbitrary File Download у исследовательских баз. Для эксплуатации нужен аккаунт WordPress с ролью Subscriber или выше.

Ошибка сидела в обработке SVG внутри shortcode-функциональности. Проблемный участок связан с функцией fusion_get_svg_from_file и параметром custom_svg shortcode fusion_section_separator. Плагин недостаточно строго проверял источник и тип файла, поэтому авторизованный пользователь мог читать файлы на сервере без прав администратора.

На практике главный риск — доступ к wp-config.php. В этом файле обычно лежат имя базы данных, логин, пароль, хост базы, а также security keys WordPress. Получение такого файла может привести к компрометации базы, подделке сессий, захвату админского аккаунта или полной передаче сайта атакующему.

Роль Subscriber выглядит как ограничение, но для WordPress это слабый барьер. На многих сайтах включена открытая регистрация: личные кабинеты, комментарии, WooCommerce, подписки, LMS, закрытые материалы, формы и маркетинговые интеграции. В таком сценарии атакующему не нужно взламывать учётку редактора или администратора — достаточно создать обычного пользователя, если регистрация доступна.

CVE-2026-4798 затрагивает Avada Builder до версии 3.15.1 включительно. Исправление вышло в 3.15.2, но владельцам сайтов всё равно нужно ставить 3.15.3 или новее, потому что в 3.15.2 ещё оставался баг с чтением файлов. Wordfence оценивает SQL-инъекцию в CVSS 7.5, Patchstack — в 9.3. Разница в оценках есть, но обе базы сходятся в главном: проблема серьёзная и требует обновления.

Уязвимость находится в параметре product_order. Пользовательский ввод попадал в SQL-запрос без достаточного экранирования и подготовки. Тип атаки — time-based SQL injection: злоумышленник не обязательно видит ошибку базы напрямую, но может вытаскивать данные через задержки в ответах сервера.

Здесь есть важное условие: эксплуатация возможна, если на сайте раньше использовали WooCommerce, затем деактивировали его, а таблицы WooCommerce остались в базе. Это снижает круг уязвимых инсталляций, но не делает проблему редкой. В WordPress-практике плагины часто выключают без полной очистки базы: магазин закрыли, модуль больше не нужен, таблицы остались.

Главный риск SQL-инъекции — извлечение чувствительных данных из базы. В отчётах отдельно упоминаются хэши паролей. Сам по себе хэш ещё не равен открытому паролю, но он даёт атакующему материал для офлайн-подбора. Если пользователи применяли слабые пароли или повторяли их на других сервисах, ущерб быстро выходит за пределы одного WordPress-сайта.

WordPress редко ломают через «ядро». Чаще атакуют плагины, старые компоненты и сайты без регулярного сопровождения. Avada Builder попадает в болезненную категорию: популярный визуальный конструктор, установленный у малого бизнеса, агентств, магазинов и контентных проектов. Такие сайты часто собирают подрядчики, а потом оставляют клиенту с автоплатежом за хостинг и редкими ручными обновлениями.

В этой истории опасна не одна отдельная ошибка, а сочетание факторов: много установок, возможность прочитать серверные файлы, SQL-инъекция без авторизации при определённой конфигурации и неполный первый патч. Версия 3.15.2 закрыла SQL-инъекцию, но полностью проблему с чтением файлов устранили только в 3.15.3.

Есть ещё один практический момент. Wordfence выдал правило firewall для платных пользователей 25 марта, а пользователи бесплатной версии получили ту же защиту 24 апреля. Для SQL-инъекции защита сработала через встроенный SQL Injection protection. Но файерволл — это страховка, а не замена обновлению плагина. Если сайт без WAF или с другой конфигурацией защиты, патч остаётся главной мерой зашиты.

Владельцам сайтов стоит проверить версию Avada Builder. Нужна 3.15.3 или новее. Проверять лучше не только в панели WordPress, но и на уровне файлов, если сайт обслуживает агентство или используется staging-копия. В некоторых инсталляциях Avada-компоненты обновляются отдельно от темы, поэтому обновлённая тема ещё не гарантирует обновлённый Builder.

Дальше стоит проверить, включена ли регистрация пользователей. Если регистрация открыта, баг с чтением файлов был доступнее: атакующему хватало роли Subscriber. Стоит посмотреть список пользователей за последние недели, особенно новые аккаунты без понятной причины, странные email-домены и учётки с неожиданным повышением роли.

Для сайтов, где раньше был WooCommerce, нужно проверить, остались ли его таблицы после отключения. Условие эксплуатации SQL-инъекции завязано именно на сценарий «WooCommerce использовался, потом был деактивирован, таблицы сохранились».

После обновления стоит сменить пароли администраторов, обновить wp-config.php, проверить активные сессии, посмотреть неизвестные админские учётки, новые PHP-файлы в wp-content/uploads, подозрительные изменения .htaccess, неожиданные cron-задачи и внешние подключения к базе. Прямых публичных данных о массовой эксплуатации именно этих двух багов в найденных источниках нет, но тип уязвимостей позволяет считать такие проверки разумным минимумом.

Администраторам нужно обновить Avada Builder до 3.15.3 или новее. Проверить бэкапы: они должны быть свежими, рабочими и храниться не в публичной директории сайта. Ограничить регистрацию пользователей, если она не нужна. Удалить неиспользуемые плагины и темы, а не просто отключать их. Для WooCommerce-проектов — отдельно проверить, какие таблицы остались после старых экспериментов с магазином.

Минимальная проверка через WP-CLI:

wp plugin list | grep -i "fusion-builder\|avada"
wp plugin update fusion-builder
wp user list --role=subscriber
wp user list --role=administrator

Для быстрой проверки файлов:

find wp-content/uploads -name "*.php" -o -name "*.phtml"
find . -name ".htaccess" -mtime -30
grep -R "eval(base64_decode\|gzinflate\|shell_exec" wp-content 2>/dev/null

Эти команды помогут отыскать типовые следы компрометации WordPress: свежие изменения правил Apache и подозрительные PHP-конструкции.