Sistemas Afectados
Sitios web basados en el CMS WordPress que utilicen el plugin constructor afectado: Avada (Fusion) Builder: Todas las versiones anteriores y hasta la versión 3.15.3 inclusive.
Descripción
Este fallo crítico se localiza en la función interna maybe_delete_files dentro de la clase encargada de la gestión de entradas de formularios (Fusion_Form_DB_Entries). La vulnerabilidad se genera debido a una validación insuficiente de las rutas de archivos cuando el plugin ejecuta tareas automáticas de limpieza o cuando se eliminan registros de formularios. Un atacante remoto no autenticado puede explotar esta debilidad enviando un payload malicioso de salto de directorio (como ../../) a través del manejador AJAX público wp_ajax_nopriv_fusion_form_submit_ajax. Al procesarse la solicitud, el sistema sustituye el prefijo de la URL de carga por la ruta local del servidor, invocando la función nativa wp_delete_file() sobre archivos críticos del entorno (como el archivo de configuración wp-config.php). La eliminación de estos archivos permite reiniciar el asistente de instalación de WordPress, permitiendo al atacante tomar el control total del sitio y lograr la ejecución remota de código (RCE).
Recomendaciones
Se insta a los administradores de plataformas web y webmasters a actualizar de forma inmediata el plugin Avada Builder a la versión corregida 3.15.4 o superior a través del panel de control de WordPress.
Referencias
Información de la Alerta
VENCERT-2026-043
🔴 Crítica
Resuelta
CVE-2026-8713
July 7, 2026