Katalog CVE

CVE-2026-6279

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Avada Builder (fusion-builder) dla WordPressa jest podatna na zdalne wykonanie kodu bez uwierzytelnienia poprzez wstrzykiwanie funkcji PHP w wersjach do 3.15.2 włącznie. Problem wynika z przekazywania wartości kontrolowanych przez atakującego do funkcji `call_user_func()` bez walidacji na liście dozwolonych.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą wykorzystać tę podatność do wykonania dowolnego kodu na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki Avada Builder do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do punktów końcowych AJAX.

Oryginalny opis (angielski, źródło NVD)

The Avada Builder (fusion-builder) plugin for WordPress is vulnerable to Unauthenticated Remote Code Execution via PHP Function Injection in versions up to and including 3.15.2. This is due to the `wp_conditional_tags` case in `Fusion_Builder_Conditional_Render_Helper::get_value()` passing attacker-controlled values from a base64-decoded JSON blob directly to `call_user_func()` without any allowlist validation. This is exploitable by unauthenticated attackers through the `fusion_get_widget_markup` AJAX endpoint, which is registered for non-privileged (unauthenticated) users via `wp_ajax_nopriv_fusion_get_widget_markup`. The endpoint is protected only by a nonce (`fusion_load_nonce`), but this nonce is generated for user ID 0 and is deterministically exposed in the JavaScript output of any public-facing page containing a Post Cards (`[fusion_post_cards]`) or Table of Contents (`[fusion_table_of_contents]`) element. This makes it possible for unauthenticated attackers to execute arbitrar

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS