### Lectura Arbitraria de Archivos (CVE-2026-4782) Una vulnerabilidad crítica de lectura arbitraria de archivos, identificada como **CVE-2026-4782**, afecta a las versiones del plugin **Avada Builder** hasta la 3.15.2. Los usuarios autenticados con al menos acceso de nivel de suscriptor pueden explotar esta falla para leer el contenido de cualquier archivo en el servidor. Esta vulnerabilidad se origina en la validación inadecuada de tipos y fuentes de archivos dentro de la funcionalidad de renderizado de shortcodes del plugin, específicamente el parámetro `custom_svg`, según detalló **Wordfence**. El acceso a archivos sensibles como `wp-config.php`, que contiene credenciales de base de datos y claves criptográficas, puede llevar a un compromiso total del sitio. ### Inyección SQL (CVE-2026-4798) Otra vulnerabilidad grave, **CVE-2026-4798**, es una falla de inyección SQL ciega basada en tiempo que afecta a las versiones de **Avada Builder** hasta la 3.15.1. Esta vulnerabilidad puede ser explotada sin autenticación bajo condiciones específicas: el plugin de comercio electrónico **WooCommerce** debe haber estado habilitado y luego desactivado, dejando sus tablas de base de datos intactas. Los atacantes pueden aprovechar esta falla inyectando código malicioso en el parámetro `product_order`, que luego se inserta en una cláusula SQL `ORDER BY` sin la preparación adecuada de la consulta. La explotación exitosa permite la extracción de información sensible de la base de datos del sitio, incluyendo hashes de contraseñas. ### Descubrimiento y Remediación El investigador de seguridad Rafie Muhammad descubrió ambas vulnerabilidades a través del Programa de Recompensas por Errores de **Wordfence**. Los problemas se informaron a **Wordfence** el 21 de marzo y posteriormente al editor de **Avada Builder** el 24 de marzo. Se implementó una solución parcial en la versión 3.15.2, lanzada el 13 de abril. Un parche completo se entregó con la versión 3.15.3, lanzada el 12 de mayo. ### Recomendación Se recomienda encarecidamente a los propietarios y administradores de sitios web que utilizan el plugin **Avada Builder** que actualicen a la versión 3.15.3 inmediatamente para mitigar estos riesgos de seguridad críticos.  ## The Validation Gap: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Usted Necesita Seis. Las herramientas automatizadas de pruebas de penetración brindan valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si las configuraciones de su nube son seguras. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar Ahora](https://hubs.li/Q048zztN0)