PT-2026-32995 · WordPress · Avada Builder
Craig Smith
·
Publicado
2026-04-15
·
Atualizado
2026-04-15
·
CVE-2026-1541
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Name of the Vulnerable Software and Affected Versions
Avada (Fusion) Builder versões anteriores a 3.15.2
Description
O plugin contém um problema de exposição de informações sensíveis. A função
fusion get post custom field() não valida se as chaves de metadados são protegidas por um prefixo de sublinhado. Isso permite que atacantes autenticados com nível de acesso Assinante (Subscriber) ou superior extraiam campos de metadados de postagens protegidos por meio do parâmetro post custom field do recurso Dynamic Data.Recommendations
Atualize para uma versão posterior a 3.15.1.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avada Builder