Avada Builder: due falle gravi, cosa fare subito
Avada Builder ha due vulnerabilità: SQL injection e file read. Ecco versioni colpite, patch e azioni immediate.
Se il tuo sito usa Avada Builder, questa è una patch da trattare come urgente. Wordfence ha segnalato due vulnerabilità distinte nel plugin: una SQL injection non autenticata e una lettura arbitraria di file che può arrivare a esporre file sensibili come wp-config.php. ThemeFusion ha chiuso il problema con 3.15.3.
In breve
| CVE | Tipo | Versioni colpite | Versione sicura |
|---|---|---|---|
| CVE-2026-4798 | SQL injection time-based non autenticata | fino a 3.15.1 | 3.15.2 |
| CVE-2026-4782 | Lettura arbitraria di file | fino a 3.15.2 | 3.15.3 |
La prima falla riguarda il percorso che usa dati legati a WooCommerce. La seconda è più delicata dal punto di vista operativo, perché un file come wp-config.php può contenere credenziali database, chiavi di autenticazione e dettagli utili a prendere controllo del sito.
Cosa fare subito
- Verifica la versione di Avada Builder su ogni installazione.
- Aggiorna a 3.15.3 se il sito usa Avada.
- Controlla i log se il sito era esposto prima della patch.
- Ruota le credenziali se sospetti che
wp-config.phpsia stato letto. - Cerca segnali di compromissione: utenti admin nuovi, file strani, redirect, spam SEO, modifiche a
.htaccess.
Quando preoccuparsi davvero
La situazione diventa seria se trovi uno di questi segnali:
- accessi admin che non riconosci;
- file PHP recenti in cartelle insolite;
- comportamenti anomali su login, form o checkout;
- redirect verso domini esterni;
- aumento improvviso di errori o query lente.
In quel caso l’aggiornamento non basta: serve verificare se qualcuno ha già sfruttato la falla e se il sito va bonificato.
Nota pratica
Se gestisci più siti clienti, questa è una di quelle vulnerabilità che vanno trattate in modo sistematico: inventario, priorità sui siti più esposti, aggiornamento, verifica post-patch. Aspettare di “vedere se succede qualcosa” è la scelta peggiore.
Fonti
- Wordfence: 1,000,000 WordPress sites affected by arbitrary file read and SQL injection vulnerabilities in Avada Builder
- mySites.guru: Avada Builder Patches Two CVEs in 3.15.3
- WPScan: Avada WordPress Theme Security Vulnerabilities
Se vuoi una verifica del sito
Se usi Avada e vuoi capire se il tuo sito è esposto o già compromesso, la strada corretta è partire da un audit WordPress o da una bonifica malware se vedi segnali sospetti.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Ninja Forms File Upload: exploit attivo, patch e checklist
Ninja Forms File Upload è vulnerabile fino alla 3.3.26: versioni colpite, patch 3.3.27 e checklist per ridurre il rischio subito.
WordPress lento dopo aggiornamento: diagnosi e fix rapido
Sito WordPress diventato lento dopo un aggiornamento di plugin, tema o core? Guida per diagnosticare la causa - PHP, database, cache rotta, conflitti - e risolverla senza ripristinare il backup.
WordPress hackerato: guida completa al recupero del sito
Guida completa per recuperare un sito WordPress hackerato: dalla scoperta alla bonifica, dalla chiusura della vulnerabilità all'hardening finale. Sequenza operativa con comandi e checklist.