Zwei kritische Fehler berichteten in diesem Monat in der visuellen Builder Avada Builder für WordPress setzen auf Risiko über eine Million Websites: man ermöglicht die willkürliches Lesen von Dateien auf dem Server und der andere ist ein blinde SQL-Injektion nach Zeit die sensible Daten extrahieren kann. Die Feststellung wurde von Wordfence dokumentiert und nach der Forschung des Experten Rafie Muhammad verbreitet, der Belohnungen für beide Befunde erhalten hat; die ersten technischen Informationen werden von Wordfence veröffentlicht und dienen als Referenz für Administratoren und Antwortteams. Wordfence erklärt die Details und der Plugin-Record und seine Anzahl von Einrichtungen können im offiziellen WordPress-Repository überprüft werden. Seite auf WordPress.org
Der Ausfall als CVE-2026-4782 ermöglicht es einem Benutzer, der mit einer Mindestberechtigung (Abonnentenebene) authentifiziert wird, die Funktion der Kurzcode-Rendering-Funktionalität und den benutzerdefinierten _ svg-Parameter zu missbrauchen, um jede Datei zu lesen, die dem Webserver zugänglich ist. Dies bedeutet, dass ein Angreifer mit einem Low-Confidence-Konto empfindliche Dateien wiewp-config.php, die Datenbank-Anmeldeinformationen und kryptographische Schlüssel enthält. Die Exposition dieser Datei erleichtert die vollständige Nutzung der Website, denn mit Anmeldeinformationen können Sie Privilegien klettern, die Datenbank klonen oder Hintertüren installieren.
Der zweite Fehler, identifiziert als CVE-2026-4798, ist eine zeitbasierte SQL-Injektion, die Versionen bis 3.15.1 beeinflusst und durch die direkte Einbeziehung des Produkts _ Bestellparameters in die ORDER BY-Klausel ohne die richtige Vorbereitung der Beratung verursacht wird. Obwohl diese Schwachstelle ohne Authentifizierung ausgenutzt wird, hat sie eine wichtige Bedingung: Es ist nur nutzbar, wenn die Website verwendet wirdWooCommerceUnd dann deaktivierte er es und ließ seine Tabellen in der Datenbank intakt. In diesem Szenario kann ein Angreifer Hashes von Passwörtern und anderen sensiblen Daten mit zeitblind Exfiltrationstechniken extrahieren.
Der private Bericht wurde Ende März an Wordfence und den Plug-in-Lieferanten gesendet; Teil- und Komplettlösungen wurden im April und Mai veröffentlicht: Version 3.15.2 reduziert das Problem teilweise und Version 3.15.3 enthält den vollen Patch. Update auf Avada Builder 3.15.3 ist die sofortige und nicht verhandelbare Aktion für alle Website-Manager mit diesem Plugin.
Zusätzlich zu der Aktualisierung müssen die Verantwortlichen Eindämmungs- und Verifikationsaktionen durchführen: Überprüfen Sie Zugriffsprotokolle durch Kurzcode-Betriebsmuster und Anfragen an den benutzerdefinierten _ svg-Parameter, Audit neu erstellte oder verdächtige Benutzerkonten (weil der Teilnehmer-Level-Zugriff ausreicht, um die Dateilesung auszunutzen) und atypische Konsultationen zu überprüfen, die die Versuche zur Zeit gegen die Datenbank anzeigen. Wenn die Website WooCommerce verwendet und deaktiviert wurde, ist es angebracht, die Integrität und den Inhalt seiner Tabellen zu überprüfen; wenn nicht erforderlich, exportieren und entfernen Sie sie nach dem Backup kann die Angriffsfläche von den SQLi verwendet entfernen.
Wenn Sie eine Störung vermuten, nehmen Sie Antwortmaßnahmen: ändern Sie die Datenbank-Anmeldeinformationen und die inwp-config.php, drücken Sie die Wiederherstellung von administrativen Konto-Passwörtern, scannen Sie die Website für schädliche Web-Dateien (Webshells) und vergleichen Sie die letzten Backups, um Änderungen zu erkennen. Implementieren WAF-Regeln, die Anträge blockieren, die versuchen, den benutzerdefinierten _ svg-Parameter zu missbrauchen oder Payloads in ORDER BY injizieren, können laufende Versuche bei der Anwendung der Korrektur mildern.
Mittelfristige Prävention beinhaltet Richtlinien, die die offene Benutzerregistrierung in öffentlichen Websites, eine Mindestprivileg-Strategie für WordPress-Rollen und eine strenge Validierung von Plugin-Parametern von Drittanbietern vor der Bereitstellung begrenzen. Eine Agil- und Test-Patch-Zyklus in einer voreingestellten kontrollierten Umgebung zu erhalten, reduziert das Belichtungsfenster auf ähnliche Schwachstellen.
Zur technischen Referenz und Überwachung von EQs finden sich die öffentlichen Angaben in der nationalen Sicherheitsdatenbank, die die Kennungen und technischen Anmerkungen enthält: CVE-2026-4782 in NVD und CVE-2026-4798 in NVD. Aktive Überwachung, sofortige Updates und eine schnelle forensische Reaktion sind die Schlüssel, um Auswirkungen zu minimieren, wenn Ihre Website Avada Builder verwendet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...