Более 1 миллиона сайтов под угрозой из-за плагина Avada Builder для WordPress: критическая уязвимость позволяет удаленно удалять файлы!

Вниманию специалистов в области кибербезопасности и администраторов веб-ресурсов! В плагине Avada Builder (Fusion Builder), разработанном для WordPress — одной из самых популярных в мире систем управления контентом, — обнаружена критическая уязвимость. Используя данную уязвимость, злоумышленники могут без аутентификации удалять важные файлы на сервере, что может привести к полному захвату контроля над веб-сайтом и удаленному выполнению вредоносного кода.

Обнаруженная специалистами по безопасности уязвимость зарегистрирована под идентификатором CVE-2026-8713 и получила оценку 9.1 балла по шкале CVSS, что означает чрезвычайно высокий уровень опасности.

Как была обнаружена уязвимость?

Данная уязвимость была найдена исследователем безопасности под псевдонимом «daroo» и сообщена разработчикам через программу Bug Bounty компании Wordfence. Исследователь получил вознаграждение в размере 3 600 долларов США за это обнаружение.

По имеющимся данным, уязвимость затрагивает все версии плагина Avada Builder до 3.15.3 включительно. Проблема была устранена разработчиками, и обновление безопасности было выпущено 2 июня 2026 года в версии 3.15.4.

Техническая сущность уязвимости

Проблема возникает из-за недостаточной проверки путей к файлам в функции maybe_delete_files(), входящей в состав плагина. В результате злоумышленник может отправлять специально сформированные запросы с некорректными путями к файлам и использовать метод обхода каталогов (Path Traversal).

В обычной ситуации плагин должен работать только с данными внутри каталога загруженных файлов. Однако из-за отсутствия проверки того, что конечный путь к файлу действительно находится в разрешенном каталоге, злоумышленник может выйти за пределы каталога.

Например, вредоносный пользователь может отправить специально сформированный путь, подобный следующему:

/wp-content/uploads/fusion-forms/../../../wp-config.php

В результате система выходит за пределы каталога загруженных файлов и обращается к файлу wp-config.php — одному из основных конфигурационных файлов WordPress.

Как осуществляется атака?

Для использования уязвимости достаточно следующих условий:

  • на сайте установлен плагин Avada Builder;
  • на сайте имеется общедоступная форма Avada;
  • включена функция сохранения отправленных данных формы в базе данных.

Злоумышленник отправляет специально подготовленные данные через форму. Впоследствии, в процессе обработки этих данных автоматическим механизмом конфиденциальности и очистки (cleanup) плагина, вредоносный путь воспринимается как реальный файл, и с помощью стандартной функции удаления файлов WordPress указанный файл удаляется.

Наиболее тревожным аспектом является то, что для запуска этого процесса не требуется вмешательства администратора. Злоумышленник может самостоятельно активировать процесс удаления файла, управляя определенными параметрами.

Каковы могут быть последствия?

Данная уязвимость представляет собой гораздо более серьезную проблему, чем просто возможность удаления файлов. Злоумышленник может нацелиться на критические файлы системы WordPress.

Если файл wp-config.php будет удален:

  • WordPress может воспринять сайт как только что установленную систему;
  • злоумышленник может попытаться воспользоваться процессом повторной настройки;
  • возникает вероятность изменения конфигурации базы данных сайта;
  • появляется риск подключения к вредоносной базе данных или внешним ресурсам;
  • в результате сайт может быть полностью скомпрометирован.

Кроме того, в некоторых случаях удаление системных файлов может привести к возможности удаленного выполнения кода (Remote Code Execution – RCE). Это предоставляет злоумышленнику почти полный контроль над сервером.

Почему эта уязвимость представляет особую опасность?

Avada Builder является одним из самых популярных конструкторов страниц в экосистеме WordPress. Миллионы веб-сайтов созданы с использованием этого плагина, а возможность эксплуатации уязвимости без аутентификации еще больше повышает уровень ее опасности.

По мнению экспертов, наибольшему риску подвергаются сайты, на которых имеются общедоступные формы. Поскольку злоумышленнику не требуются учетные данные или специальные права для входа в систему — достаточно отправить форму как обычный пользователь.

Рекомендации для организаций и администраторов

Для защиты от данной угрозы рекомендуется принять следующие меры:

1. Немедленно обновите плагин

Необходимо перейти на версию Avada Builder 3.15.4 или более новую. Сайты, работающие на старых версиях, остаются под угрозой.

2. Проверьте конфигурацию форм

Если для форм Avada включена функция сохранения данных в базе данных, пересмотрите их настройки безопасности.

3. Проанализируйте логи сайта

Обратите внимание на выявление следующих признаков:

  • необычные отправки форм;
  • запросы, содержащие символы ../;
  • неожиданные события удаления файлов;
  • исчезновение конфигурационных файлов;
  • необычная активность в учетных записях администраторов.

4. Регулярно создавайте резервные копии

Регулярное создание резервных копий сайта и базы данных поможет снизить последствия возможной атаки.

5. Используйте межсетевой экран для веб-приложений

Решения Web Application Firewall (WAF), такие как Wordfence или аналогичные, способны обнаруживать и блокировать попытки обхода каталогов (Path Traversal).

Уязвимость CVE-2026-8713 еще раз продемонстрировала, насколько важны строгие проверки безопасности при разработке плагинов для WordPress, особенно в части обработки пользовательского ввода и операций с файлами.

Кажущаяся на первый взгляд простой возможность удаления файлов на деле может привести к полному захвату веб-сайта, утечке конфиденциальных данных и выполнению вредоносного кода на сервере. Поэтому всем организациям и администраторам, использующим плагин Avada Builder, необходимо немедленно установить обновления безопасности и проверить свои инфраструктуры на наличие возможных признаков компрометации.

Практика кибербезопасности показывает, что даже один неправильно проверенный путь к файлу может создать серьезную угрозу безопасности миллионов пользователей и веб-ресурсов.