### Leitura Arbitrária de Arquivos (CVE-2026-4782) Uma vulnerabilidade crítica de leitura arbitrária de arquivos, rastreada como **CVE-2026-4782**, afeta as versões do plugin **Avada Builder** até a 3.15.2. Usuários autenticados com acesso de nível de assinante podem explorar essa falha para ler o conteúdo de qualquer arquivo no servidor. Essa vulnerabilidade decorre da validação inadequada de tipos e fontes de arquivos na funcionalidade de renderização de shortcodes do plugin, especificamente o parâmetro `custom_svg`, conforme detalhado pela **Wordfence**. O acesso a arquivos sensíveis como `wp-config.php`, que contém credenciais de banco de dados e chaves criptográficas, pode levar ao comprometimento completo do site. ### SQL Injection (CVE-2026-4798) Outra vulnerabilidade grave, **CVE-2026-4798**, é uma falha de SQL injection cega baseada em tempo que afeta as versões do **Avada Builder** até a 3.15.1. Essa vulnerabilidade pode ser explorada sem autenticação sob condições específicas: o plugin de e-commerce **WooCommerce** deve ter sido ativado e depois desativado, deixando suas tabelas de banco de dados intactas. Atacantes podem alavancar essa falha injetando código malicioso no parâmetro `product_order`, que é então inserido em uma cláusula `ORDER BY` SQL sem a devida preparação da consulta. A exploração bem-sucedida permite a extração de informações sensíveis do banco de dados do site, incluindo hashes de senhas. ### Descoberta e Correção O pesquisador de segurança Rafie Muhammad descobriu ambas as vulnerabilidades através do Programa de Recompensa por Bugs da **Wordfence**. Os problemas foram reportados à **Wordfence** em 21 de março e, subsequentemente, ao editor do **Avada Builder** em 24 de março. Uma correção parcial foi implementada na versão 3.15.2, lançada em 13 de abril. Uma correção completa foi entregue com a versão 3.15.3, lançada em 12 de maio. ### Recomendação Proprietários e administradores de sites que utilizam o plugin **Avada Builder** são fortemente aconselhados a atualizar para a versão 3.15.3 imediatamente para mitigar esses riscos críticos de segurança.  ## O Gap de Validação: Pentesting Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentesting automatizado entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixar Agora](https://hubs.li/Q048zztN0)