VENCERT // SISTEMA NACIONAL DE GESTIÓN DE INCIDENTES TELEMÁTICOS
🔴 Crítica VENCERT-2026-043 CVE-2026-8713

Eliminación Arbitraria de Archivos No Autenticada en el Plugin Avada Builder para WordPress

Publicado: July 7, 2026  ·  Estado: Resuelta

Sistemas Afectados

Sitios web basados en el CMS WordPress que utilicen el plugin constructor afectado: Avada (Fusion) Builder: Todas las versiones anteriores y hasta la versión 3.15.3 inclusive.

Descripción

Este fallo crítico se localiza en la función interna maybe_delete_files dentro de la clase encargada de la gestión de entradas de formularios (Fusion_Form_DB_Entries). La vulnerabilidad se genera debido a una validación insuficiente de las rutas de archivos cuando el plugin ejecuta tareas automáticas de limpieza o cuando se eliminan registros de formularios. Un atacante remoto no autenticado puede explotar esta debilidad enviando un payload malicioso de salto de directorio (como ../../) a través del manejador AJAX público wp_ajax_nopriv_fusion_form_submit_ajax. Al procesarse la solicitud, el sistema sustituye el prefijo de la URL de carga por la ruta local del servidor, invocando la función nativa wp_delete_file() sobre archivos críticos del entorno (como el archivo de configuración wp-config.php). La eliminación de estos archivos permite reiniciar el asistente de instalación de WordPress, permitiendo al atacante tomar el control total del sitio y lograr la ejecución remota de código (RCE).

Recomendaciones

Se insta a los administradores de plataformas web y webmasters a actualizar de forma inmediata el plugin Avada Builder a la versión corregida 3.15.4 o superior a través del panel de control de WordPress.

Información de la Alerta

Código:
VENCERT-2026-043
Severidad:
🔴 Crítica
Estado:
Resuelta
CVE:
CVE-2026-8713
Publicado:
July 7, 2026
Volver a Alertas