Популярный плагин для WordPress оказался уязвим: миллионы сайтов под угрозой

Специалисты по кибербезопасности из компании Wordfence сообщили об обнаружении двух критических уязвимостей в популярном плагине Avada Builder для системы управления контентом WordPress. Данный инструмент, позволяющий создавать веб-страницы методом перетаскивания элементов без написания кода, установлен более чем на миллионе сайтов.

Суть уязвимостей

Исследователь безопасности Рафи Мухаммад выявил две бреши в защите плагина, которые могли позволить злоумышленникам получить доступ к конфиденциальным данным, включая хешированные пароли пользователей и другую важную информацию:

• CVE-2026-4782: уязвимость произвольного чтения файлов со средним уровнем опасности. Для реализации атаки требуется наличие учетной записи с уровнем доступа «подписчик». Рейтинг угрозы составляет 6,5 из 10.
• CVE-2026-4798: SQL-инъекция с высоким уровнем опасности. Позволяет неавторизованным пользователям извлекать данные непосредственно из базы данных сайта. Рейтинг угрозы составляет 7,5 из 10.

Меры защиты

Разработчики из команды ThemeFusion были уведомлены о находках в конце марта 2026 года. Исправления для уязвимостей были выпущены в два этапа — в апреле и мае 2026 года. Владельцам сайтов, использующим Avada Builder, настоятельно рекомендуется в кратчайшие сроки обновить плагин до версии 3.15.3 или выше.

За ответственное раскрытие информации о данных угрозах в рамках программы Bug Bounty исследователь Рафи Мухаммад получил денежное вознаграждение в размере около 4500 долларов США.

* — деятельность компании запрещена на территории РФ

Твитнуть