CVE-2026-8713

Nome do Software Vulnerável e Versões Afetadas Avada (Fusion) Builder versões anteriores a 3.15.4

Descrição A validação insuficiente do caminho do arquivo na função maybe delete files() permite que atacantes não autenticados excluam arquivos arbitrários no servidor. Este problema pode levar à execução remota de código se arquivos críticos, como wp-config.php, forem excluídos. O ataque requer um formulário Avada publicado e configurado para salvar entradas no banco de dados. Um atacante pode enviar um payload de path-traversal através do endpoint 'wp ajax nopriv fusion form submit ajax' enquanto controla as variáveis fusion privacy expiration interval e privacy expiration action para forçar uma limpeza imediata. Isso faz com que a entrada seja processada pela rotina de shutdown-hook Fusion Form DB Privacy sem interação do administrador. Aproximadamente 1.000.000 de instalações ativas estão potencialmente afetadas.

Recomendações Atualize para a versão 3.15.4.