Dois erros críticos relatados este mês no construtor visual Avada Builder para WordPress colocam em risco cerca de um milhão de sites: um permite a leitura arbitrária de ficheiros no servidor e o outro é uma injeção SQL cega por tempo que pode extrair dados sensíveis. O achado foi documentado pelo Wordfence e divulgado após a pesquisa do especialista Rafie Muhammad, que recebeu recompensas por ambos os achados; a informação técnica inicial é publicada pelo Wordfence e serve como referência para administradores e equipes de resposta. Wordfence explica os detalhes e o registro do plugin e sua quantidade de instalações pode ser verificado no repositório oficial do WordPress. Página do plugin no WordPress.org
O erro rastreio como CVE-2026-4782 Permite que um utilizador autenticado com permissão mínima (nível suscriptor) abuse da funcionalidade de renderização de shortcodes e do parâmetro custom_svg para ler qualquer ficheiro acessível pelo servidor Web. Isso significa que um atacante com uma conta de baixa confiança pode recuperar arquivos sensíveis comowp- config.php, que contém credenciais de base de dados e chaves criptográficas. A exposição desse ficheiro facilita a completo do site, porque com as credenciais se podem escalar privilégios, clonar a base de dados ou instalar portas traseiras.
O segundo erro, identificado como CVE-2026-4798, é uma injeção SQL baseada em tempo que afeta versões até 3.15.1 e é originada pela inclusão direta do parâmetro product_order na cláusula ORDER BY sem a preparação adequada da consulta. Embora esta vulnerabilidade seja explorada sem necessidade de autenticação, tem um condicionante importante: só é utilizável se o site usouWooCommercee depois o desactivou, deixando intactas as suas tabelas na base de dados. Nesse cenário, um atacante pode extrair hashes de senhas e outros dados sensíveis através de técnicas de exfiltração cega por tempo.
O relatório privado foi enviado ao Wordfence e o provedor do plugin no final de março; foram publicadas soluções parciais e completas em abril e maio: a versão 3.15.2 mitiga parcialmente o problema e a versão 3.15.3 contém o adesivo completo. Actualizar a Avada Builder 3.15.3 É a ação imediata e não negociável para todos os administradores de sites que utilizem esse plugin.
Além de atualizar, os responsáveis devem realizar ações de contenção e verificação: verificar os registros de acesso por padrões de exploração de shortcodes e petições ao parâmetro custom_svg, auditar as contas de usuário recém criadas ou com atividade suspeita (porque o acesso de nível suscriptor basta para explorar a leitura de arquivos) e revisar consultas atípicas que indiquem tentativas de extração por tempo contra a base de dados. Se o site usou o WooCommerce e foi desativado, convém verificar a integridade e o conteúdo de suas tabelas; se não for necessário, exportar e eliminá-las após fazer cópia de segurança pode remover a superfície de ataque utilizada pelo SQLi.
Se suspeitar de uma intrusão, tome medidas de resposta: mude as credenciais de base de dados e as chaves/sais definidas emwp- config.php, foirce o restabelecimento de senhas de contas administrativas, escanee o site em busca de arquivos web maliciosos (webshells) e compare cópias de segurança recentes para detectar modificações. Implementar regras do WAF que bloqueiem pedidos que tentem abusar do parâmetro custom_svg ou injetar payloads em ORDER BY pode mitigar tentativas em curso enquanto se aplica a correção.
A prevenção a médio prazo passa por políticas que limitem o registro aberto de usuários em sites públicos, uma estratégia de privilégios mínimos para papéis do WordPress e a validação estrita de parâmetros em plugins de terceiros antes de sua implantação. Manter um ciclo de adesivo ágil e testes num ambiente controlado antes da implantação reduz a janela de exposição para vulnerabilidades semelhantes.
Para referência técnica e seguimento dos CVE, consultar o detalhe público na base de dados nacional de vulnerabilidades, onde constam os identificadores e as notas técnicas: CVE-2026-4782 em NVD e CVE-2026-4798 em NVD. A vigilância ativa, as atualizações imediatas e uma resposta forense rápida são as chaves para minimizar o impacto se seu site usa Avada Builder.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...