CVE-2026-4798

Nome do Software Vulnerável e Versões Afetadas Avada Builder versões anteriores a 3.15.2

Descrição O plugin Avada Builder para WordPress contém uma Injeção de SQL baseada em tempo, uma técnica onde um invasor envia consultas que fazem o banco de dados pausar por uma duração específica para determinar se uma condição é verdadeira. Isso ocorre através do parâmetro 'product order' devido à limpeza insuficiente de dados fornecidos pelo usuário e à falta de preparação adequada da consulta SQL. Atacantes não autenticados podem anexar consultas SQL adicionais para extrair informações sensíveis do banco de dados. Este problema afeta apenas sites onde o WooCommerce foi instalado anteriormente e posteriormente desativado. Estima-se que aproximadamente 1 milhão de sites estejam em risco.

Recomendações Atualize para uma versão posterior à 3.15.1.