- Wordfence ha revelado dos fallas en Avada Builder, un complemento de WordPress con casi 1 millón de instalaciones activas
- CVE‑2026‑4782 (lectura arbitraria de archivos, gravedad media) requiere acceso a nivel de cliente; CVE‑2026‑4798 (Inyección SQL, alta gravedad) Explotación no autorizada
- Parches lanzados en abril y mayo de 2026; Se recomienda a los usuarios que actualicen a v3.15.3+; El investigador Rafi Muhammad obtuvo un premio de ~4.500 dólares
Un popular complemento de WordPress con aproximadamente un millón de instalaciones activas tiene dos vulnerabilidades que podrían permitir a actores malintencionados extraer datos confidenciales, como hashes de contraseñas y otra información valiosa.
Los investigadores de seguridad de Wordfence dijeron que el investigador Rafi Muhammad les advirtió sobre la existencia de una lectura de archivo arbitraria y una vulnerabilidad de inyección SQL en Avada Builder.
Avada Builder es un creador de páginas de arrastrar y soltar para WordPress que forma parte del ecosistema Avada de ThemeFusion, con más de 1.050.000 instalaciones activas en este momento. Permite a los usuarios crear sitios web sin la necesidad de aprender o escribir código. Funciona arrastrando varios elementos como bloques de texto, imágenes, controles deslizantes, botones, formularios, tablas de precios y diseños a una página y personalizándolos en tiempo real.
Parche disponible
El único requisito previo para poder aprovechar el primer error es tener al menos acceso a nivel de cliente, lo que no debería ser demasiado difícil en la mayoría de los sitios. A este error, ahora rastreado como CVE-2026-4782, se le asignó una puntuación de gravedad de 6,5/10 (media).
Por otro lado, las vulnerabilidades de inyección SQL también pueden ser utilizadas por atacantes no autenticados para extraer datos confidenciales de bases de datos con contraseñas hash. Ahora se rastrea como CVE-2026-4798 y se le asigna una puntuación de gravedad ligeramente superior: 7,5/10 (alta).
Wordfence dijo que las fallas fueron reveladas al equipo de Avada el 24 y 25 de marzo de 2026, y que los desarrolladores regresaron con parches en dos meses: uno el 13 de abril y el otro el 12 de mayo.
Se recomienda a los usuarios que ejecutan Avada Builder en su sitio web que actualicen el complemento a la versión 3.15.3 o posterior lo antes posible.
A Muhammad le pagaron aproximadamente 4.500 dólares por sus problemas, confirmó Wordfence.
“Aplausos para Rafi Muhammad, quien descubrió e informó responsablemente estas vulnerabilidades a través del programa de recompensas por errores WordFence”, escribió en su informe.
“Nuestro objetivo es proteger WordPress a través de una defensa en profundidad, razón por la cual estamos invirtiendo en investigación de vulnerabilidades de calidad a través de nuestro programa de recompensas por errores y colaborando con investigadores de este calibre. Estamos comprometidos a hacer que el ecosistema de WordPress sea más seguro a través de la detección y prevención de vulnerabilidades, que es un componente crítico de un enfoque de seguridad de múltiples capas”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
