CVE-2026-6279

Nome do Software Vulnerável e Versões Afetadas Avada Builder (fusion-builder) versões anteriores a 3.15.3

Descrição A execução remota de código não autenticada é possível via Injeção de Função PHP. O problema ocorre porque o caso wp conditional tags na função Fusion Builder Conditional Render Helper::get value() passa valores controlados por um invasor, provenientes de um blob JSON decodificado em base64, diretamente para call user func() sem validação de lista de permissões. Isso pode ser explorado através do endpoint AJAX 'fusion get widget markup', que é registrado para usuários não autenticados via wp ajax nopriv fusion get widget markup. Embora o endpoint seja protegido por um nonce fusion load nonce, este valor é gerado para o ID de usuário 0 e é exposto deterministicamente na saída JavaScript de qualquer página pública que contenha um elemento de Post Cards ([fusion post cards]) ou Table of Contents ([fusion table of contents]).

Recomendações Atualize o plugin para uma versão posterior a 3.15.2. Como medida paliativa temporária, restrinja o acesso ao endpoint AJAX 'fusion get widget markup' ou remova os elementos de Post Cards e Table of Contents de páginas públicas para evitar a exposição do fusion load nonce.