CVE-2026-1509

Name of the Vulnerable Software and Affected Versions Avada (Fusion) Builder versões anteriores a 3.15.2

Description O plugin permite que atacantes autenticados com nível de acesso Assinante (Subscriber) ou superior executem hooks de ação arbitrários do WordPress por meio do recurso Dynamic Data. Isso ocorre porque a função output action hook() aceita entrada controlada pelo usuário para disparar hooks de ação registrados do WordPress sem as devidas verificações de autorização. Essa falha pode levar à escalada de privilégios, inclusão de arquivos ou negação de serviço, dependendo dos hooks de ação disponíveis na instalação do WordPress.

Recommendations Atualize para uma versão posterior à 3.15.1.