Avada
頗受歡迎的網站管理平臺WordPress外掛程式(Plugin)Avada Builder,近日發布新版本修補4項漏洞,攻擊者可藉此執行任意程式碼、讀取敏感檔案、竊取資料庫資訊,進而控制網站。Avada已於Avada Builder 3.15.3版修補這4項漏洞,建議用戶儘速更新以降低風險。
Avada Builder是WordPress知名商業網站主題(Theme)Avada的隨附外掛程式,用於提供視覺化網站頁面製作功能,整個Avada網站主題擁有百萬等級的部署數量,因而相關漏洞的影響範圍也相當大。
這次Avada Builder修補的漏洞中,最嚴重的是CVE-2026-6279,CVSS嚴重性評分達9.8分,為PHP功能注入問題( PHP Function Injection ),可能導致未授權遠端執行任意程式碼。其次是CVE-2026-4798,CVSS嚴重性評分為7.5分,可能導致未經身分驗證的攻擊者利用SQL注入漏洞,從資料庫中取得敏感資訊。第3項是CVE-2026-4782,CVSS嚴重性評分6.5分,會造成擁有訂閱者層級(subscriber-level)權限的用戶讀取伺服器上任意檔案。最後1項是CVE-2026-1543,CVSS嚴重性為6.4分,屬於儲存型跨站腳本問題(Stored Cross-Site Scripting,Stored XSS)。
