### Arbitrary File Read (CVE-2026-4782) Eine kritische Schwachstelle zum Lesen beliebiger Dateien, verfolgt als **CVE-2026-4782**, betrifft **Avada Builder** Plugin-Versionen bis 3.15.2. Authentifizierte Benutzer mit mindestens Subscriber-Zugriff können diesen Fehler ausnutzen, um den Inhalt jeder Datei auf dem Server zu lesen. Diese Schwachstelle resultiert aus einer unzureichenden Validierung von Dateitypen und -quellen innerhalb der Shortcode-Rendering-Funktionalität des Plugins, insbesondere des `custom_svg`-Parameters, wie von **Wordfence** detailliert beschrieben. Der Zugriff auf sensible Dateien wie `wp-config.php`, die Datenbankanmeldeinformationen und kryptografische Schlüssel enthält, kann zu einer vollständigen Kompromittierung der Website führen. ### SQL Injection (CVE-2026-4798) Eine weitere schwerwiegende Schwachstelle, **CVE-2026-4798**, ist ein zeitbasierter, blinder SQL-Injection-Fehler, der **Avada Builder** Versionen bis 3.15.1 betrifft. Diese Schwachstelle kann unter bestimmten Bedingungen ohne Authentifizierung ausgenutzt werden: Das **WooCommerce** E-Commerce-Plugin muss aktiviert und dann deaktiviert worden sein, wobei seine Datenbanktabellen intakt bleiben. Angreifer können diesen Fehler ausnutzen, indem sie bösartigen Code in den `product_order`-Parameter einschleusen, der dann in eine SQL `ORDER BY`-Klausel eingefügt wird, ohne dass die Abfrage ordnungsgemäß vorbereitet wird. Eine erfolgreiche Ausnutzung ermöglicht die Extraktion sensibler Informationen aus der Website-Datenbank, einschließlich Passwort-Hashes. ### Entdeckung und Behebung Der Sicherheitsforscher Rafie Muhammad entdeckte beide Schwachstellen über das **Wordfence** Bug Bounty Program. Die Probleme wurden am 21. März an **Wordfence** und anschließend am 24. März an den Herausgeber von **Avada Builder** gemeldet. Eine teilweise Behebung wurde in Version 3.15.2, veröffentlicht am 13. April, implementiert. Ein vollständiger Patch wurde mit Version 3.15.3, veröffentlicht am 12. Mai, bereitgestellt. ### Empfehlung Website-Besitzer und Administratoren, die das **Avada Builder** Plugin verwenden, werden dringend aufgefordert, sofort auf Version 3.15.3 zu aktualisieren, um diese kritischen Sicherheitsrisiken zu mindern.  ## The Validation Gap: Automated Pentesting Answers One Question. You Need Six. Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold. This guide covers the 6 surfaces you actually need to validate. [Download Now](https://hubs.li/Q048zztN0)