Auf den Punkt: Zwei Sicherheitslücken (CVE-2023-3153 und CVE-2026-4798) im Avada Builder WordPress-Plugin ermöglichen es, Konfigurationsdateien mit Datenbankzugangsdaten oder per SQL-Injection Passwort-Hashes auszulesen.
Das WordPress-Plugin Avada Builder (ca. eine Million aktive Installationen) weist zwei Sicherheitslücken auf, die es Angreifern ermöglichen, beliebige Dateien auszulesen und sensible Daten aus der Datenbank zu extrahieren. Eine Lücke erfordert authentifizierte Zugriffe, die andere lässt sich unter bestimmten Bedingungen unauthentifiziert ausnutzen.
Die Sicherheitsforscher Rafie Muhammad entdeckte zwei kritische Lücken im Avada Builder WordPress-Plugin. Die erste Lücke (CVE-2023-3153) ermöglicht das Auslesen beliebiger Dateien und betrifft alle Versionen bis einschließlich 3.15.23. Authentifizierte Nutzer mit mindestens Subscriber-Level-Zugriff können über einen fehlerhaft validierten custom_svg-Parameter in der Shortcode-Rendering-Funktion auf sensible Dateien wie wp-config.php zugreifen. Diese Datei enthält typischerweise Datenbankzugangsdaten und kryptografische Schlüssel.
Die zweite Lücke (CVE-2026-4798) ist eine Time-based Blind SQL Injection und betrifft Avada Builder bis Version 3.15.1. Sie entsteht dadurch, dass Eingaben aus dem product_order-Parameter direkt in SQL-ORDER-BY-Klauseln übernommen werden, ohne Sanitization oder vorbereitete Statements zu verwenden. Diese Lücke lässt sich unauthentifiziert ausnutzen, setzt aber eine Bedingung voraus: Das WooCommerce-E-Commerce-Plugin muss installiert gewesen sein und wurde später deaktiviert, während die Datenbanktabellen erhalten blieben.
Für einen Website-Administrator sind beide Lücken relevant: Die erste ermöglicht nach Zugriff auf wp-config.php die Übernahme von Admin-Konten und damit die vollständige Kompromittierung der Website. Die Anforderung von Subscriber-Level-Zugriff ist auf vielen WordPress-Sites nicht erheblich, da Benutzerregistrierung oft offen ist. Die zweite Lücke erlaubt das Extrahieren von Passwort-Hashes und anderen Datenbank-Inhalten.
Security Researcher Muhammad meldete die Lücken am 21. März via Wordfence Bug Bounty Program und am 24. März an den Avada-Builder-Entwickler. Für seine Funde erhielt er Prämien von 3.386 US-Dollar beziehungsweise 1.067 US-Dollar.
Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.