Avada Builder外掛程式修補重大漏洞,影響大量WordPress網站平臺
來源: iThome | 日期: 2026-05-28 | URL: https://www.ithome.com.tw/news/176183
概要
WordPress 熱門外掛程式 Avada Builder 發布 3.15.3 版本,修補 4 項安全漏洞,涵蓋遠端程式碼執行、SQL注入、任意檔案讀取及 XSS 等問題。Avada 主題部署量達百萬等級,影響範圍廣泛。
漏洞詳情
| CVE 編號 | CVSS 分數 | 類型 | 風險說明 |
|---|---|---|---|
| CVE-2026-6279 | 9.8(嚴重) | PHP Function Injection | 未授權遠端執行任意程式碼 |
| CVE-2026-4798 | 7.5(高) | SQL Injection | 未經身分驗證即可竊取資料庫敏感資訊 |
| CVE-2026-4782 | 6.5(中) | 任意檔案讀取 | 訂閱者層級用戶可讀取伺服器任意檔案 |
| CVE-2026-1543 | 6.4(中) | Stored XSS | 儲存型跨站腳本攻擊 |
建議行動
- ✅ 立即更新 Avada Builder 至 3.15.3 或以上版本
- 優先處理 CVE-2026-6279(CVSS 9.8),風險最高
衍生頁面
- Avada Builder外掛程式修補重大漏洞影響大量WordPress網站平臺 — 漏洞事件概念頁面
- avada — Avada Builder 實體頁面