Twee kwetsbaarheden in de Avada Builder plugin voor WordPress, met ongeveer een miljoen actieve installaties, stellen aanvallers in staat om willekeurige bestanden te lezen en gevoelige informatie uit de database te halen. Eén van de lekken, geregistreerd als CVE-2026-4782, kan door geauthenticeerde gebruikers met minimaal abonneeniveau worden misbruikt om de inhoud van elke serverfile te lezen. De andere kwetsbaarheid, CVE-2026-4798, betreft een SQL-injectie die zonder authenticatie kan worden uitgevoerd, mits de WooCommerce plugin eerder is geactiveerd en daarna gedeactiveerd.

Avada Builder is een drag-and-drop pagina-builder plugin voor het Avada WordPress-thema, waarmee gebruikers website-indelingen en ontwerp-elementen kunnen maken zonder code te schrijven. De kwetsbaarheden werden ontdekt door securityonderzoeker Rafie Muhammad, die ze via het Wordfence Bug Bounty Programma meldde en hiervoor respectievelijk beloningen van 3.386 en 1.067 dollar ontving. Wordfence legt uit dat het lezen van willekeurige bestanden mogelijk is via de shortcode-rendering functionaliteit van de plugin en de parameter custom_svg. De plugin valideert niet correct welke bestandstypen en bronnen worden toegelaten, waardoor toegang ontstaat tot gevoelige bestanden zoals wp-config.php, dat doorgaans databasegegevens en cryptografische sleutels bevat. Toegang tot dit bestand kan leiden tot overname van een beheerdersaccount en volledige controle over de site.

Hoewel deze kwetsbaarheid als middelzwaar wordt beoordeeld omdat er minimaal abonneeniveau vereist is, vormt dit in de praktijk geen grote belemmering omdat veel WordPress-sites gebruikersregistratie toestaan. De tijdgebaseerde blind SQL-injectie, CVE-2026-4798, treft Avada Builder versies tot en met 3.15.1. Hierbij wordt gebruikersinvoer van de product_order parameter zonder juiste queryvoorbereiding in een SQL ORDER BY clausule geplaatst. Dit lek kan door onbevoegden worden misbruikt om gevoelige databasegegevens, waaronder wachtwoordhashes, te extraheren. Voorwaarde is dat WooCommerce eerder is gebruikt en daarna gedeactiveerd, waarbij de database-tabellen nog intact zijn.

De kwetsbaarheden werden op 21 maart bij Wordfence ingediend en op 24 maart gemeld bij de ontwikkelaar van Avada Builder. Een gedeeltelijke oplossing kwam uit met versie 3.15.2 op 13 april, gevolgd door een volledige patch in versie 3.15.3 op 12 mei. Website-eigenaren en beheerders wordt dringend geadviseerd om zo snel mogelijk te updaten naar Avada Builder 3.15.3.