Threats
Duas vulnerabilidades críticas no plugin Avada Builder para WordPress podem permitir roubo de dados e acesso a ficheiros sensíveis. Mais de um milhão de sites estão potencialmente expostos
18/05/2026
|
Duas vulnerabilidades críticas no plugin Avada Builder para WordPress estão a colocar em risco mais de um milhão de websites, segundo investigadores de segurança. As falhas foram identificadas pelo investigador Rafie Muhammad através do programa Wordfence Bug Bounty e afetam versões até à 3.15.2 e 3.15.1 do plugin. As vulnerabilidades incluem uma falha de leitura arbitrária de ficheiros, identificada como CVE-2026-4782, e uma vulnerabilidade de SQL Injection, registada como CVE-2026-4798. A primeira falha permite que utilizadores autenticados com privilégios mínimos, como subscritores, consigam ler ficheiros sensíveis no servidor através da manipulação de um determinado parâmetro. Segundo os investigadores, a vulnerabilidade pode permitir acesso a ficheiros críticos que contém credenciais da base de dados e chaves de segurança do WordPress. A falha recebeu uma classificação CVSS de 6.5. Já a vulnerabilidade de SQL Injection é considerada mais severa, com uma pontuação CVSS de 7.5. Neste caso, atacantes não autenticados podem explorar um parâmetro para executar ataques de SQL Injection baseados em tempo. A exploração pode permitir extração de credenciais, hashes de passwords e outros dados sensíveis armazenados na base de dados. Embora o ataque dependa de uma condição específica, os investigadores alertam para o impacto potencial da falha. A equipa de desenvolvimento do Avada lançou correções em diferentes fases, sendo a versão 3.15.3, disponibilizada a 12 de maio de 2026, a atualização final recomendada. Os especialistas aconselham os administradores de websites a atualizarem imediatamente o plugin, reverem permissões de utilizadores, monitorizarem logs de acesso e utilizarem soluções adicionais de proteção, como Web Application Firewalls. Os investigadores sublinham ainda que a elevada popularidade do Avada Builder aumenta significativamente a superfície de ataque e o interesse de grupos maliciosos na exploração destas vulnerabilidades. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS lança nova edição do Relatório Cibersegurança em Portugal
THREATS
Nova falha ‘Dirty Flag’ em Linux pode já estar a ser explorada
THREATS
CNCS alerta para falha crítica no Linux
NEWS
Palo Alto Networks divulga agenda e parceiros do Innovation Day Lisbon
THREATS
Novo malware Quasar Linux visa programadores
THREATS
Novo ataque Shai-Hulud compromete centenas de pacotes npm e PyPI
THREATS
SAP corrige falhas críticas no S/4HANA e Commerce
THREATS
Apple corrige falhas críticas nos sistemas operativos
THREATS
Falha no Claude para Chrome permite controlo da IA
THREATS
Nova falha ‘Dirty Flag’ em Linux pode já estar a ser explorada
