Eine Million WordPress-Sites gefährdet durch Sicherheitslücken im Avada-Builder
Ein weit verbreitetes WordPress-Plugin, das über eine Million Websites betreibt, wurde ücken betroffen, die Angreifern den Diebstahl sensibler Daten und den Zugriff auf Serverdateien

Kurzfassung
Warum das wichtig ist
- Ein weit verbreitetes WordPress-Plugin, das über eine Million Websites betreibt, wurde ücken betroffen, die Angreifern den Diebstahl sensibler Daten und den Zugriff auf Serverdateien
- Sicherheitsforscher warnen, dass die Mängel Avada Builder-Plugin aktiv ausgenutzt werden könnten, solange die betroffenen Websites nicht gepatcht werden.
- Die Rahmen des Wordfence Bug Bounty Programms entdeckten Schwachstellen umfassen eine beliebige Dateileselücke (CVE-2026-4782) und einen SQL-Injection-Fehler (CVE-2026-4798).
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Ein weit verbreitetes WordPress-Plugin, das über eine Million Websites betreibt, wurde ücken betroffen, die Angreifern den Diebstahl sensibler Daten und den Zugriff auf Serverdateien
Warum relevant
Diese Sicherheitslücken betreffen Versionen des Avada Builder bis einschließlich 3.15.2 bzw.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Diese Sicherheitslücken betreffen Versionen des Avada Builder bis einschließlich 3.15.2 bzw. 3.15.1. Avada Builder-Schwachstellen Beliebige Dateileselücke Diese Sicherheitslücke liegt in der Verarbeitung des Parameters „custom_svg" innerhalb eines Shortcodes des Plugins.
Aufgrund fehlender Validierungsprüfungen können Angreifer die Funktion manipulieren, die für das Laden ändig ist, und Inhalte aus beliebigen Speicherorten abrufen. Dies umfasst kritische Dateien wie wp-config.php, die Datenbankzugangsdaten und Sicherheitsschlüssel enthält.
Vereinfacht ausgedrückt könnte ein Benutzer mit geringen Berechtigungen das Plugin dazu bringen, vertrauliche Serverdaten preiszugeben, ohne dass Administratorrechte erforderlich sind. Das Problem erhielt einen CVSS-Score von 6,5, was eine mittlere Schweregrad, jedoch ein hohes praktisches Risiko anzeigt.
Sicherheitslage und Risiko
SQL-Injektion ermöglicht Datendiebstahl Die zweite Schwachstelle (CVE-2026-4798) ist schwerwiegender und weist einen CVSS-Score von 7,5 auf. Sie ermöglicht es nicht authentifizierten Angreifern, über den Parameter „product_order" zeitbasierte SQL-Injektionsangriffe durchzuführen.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/avada-builder-plugin-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/avada-builder-plugin-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Apple A20 Pro mit 13-jähriger Speicherpraxis bricht Gewohnheiten
Apple bereitet mit dem A20 Pro-Chip und 96-Bit-LPDDR6-Speicher für die iPhone 18 Pro-Modelle einen architektonischen Wechsel vor, um die Anforderungen der Apple Intelligence durch höhere Datenbandbreiten zu erfüllen. Um die durch den fortschrittlichen 2-Nanometer-Prozess und den neuen Speicher verursachten Kosten auszugleichen, plant das Unternehmen Einsparungen bei den NAND-Flash-Speichern der neuen Geräte.
04.07.2026
Live Redaktion


