# Avada Builder: falha crítica expõe 1 milhão de sites

> https://www.cisoadvisor.com.br/avada-builder-falha-critica-expoe-1-milhao-de-sites/

Uma vulnerabilidade crítica de segurança identificada no Avada (Fusion) Builder, um dos complementos mais populares do ecossistema WordPress, expôs mais de 1 milhão de sites a ataques de exclusão arbitrária de arquivos. O defeito lógico abre caminho para o comprometimento total do servidor e a execução remota de código ([RCE](https://www.cisoadvisor.com.br/f5-publica-patches-para-falhas-com-cvss-9-2-no-nginx/)). A correção estrutural já foi disponibilizada pela equipe de desenvolvimento do software.

### Mecânica da falha de Path Traversal e impacto no sistema

A falha técnica está registrada sob o identificador [**CVE-2026-8713**](https://www.wordfence.com/blog/2026/06/critical-unauthenticated-arbitrary-file-deletion-vulnerability-patched-in-avada-builder-wordpress-plugin/) e recebeu uma pontuação de severidade CVSS de 9.1. O problema foi descoberto pelo pesquisador de segurança conhecido como “daroo” por meio do programa de caça a bugs da Wordfence, resultando em uma recompensa de US$ 3.600 pela descoberta. A brecha afeta todas as versões do plugin anteriores à edição 3.15.3.

O defeito de segurança ocorre devido à validação inadequada de caminhos de arquivos dentro da função `maybe_delete_files()`, responsável pela lógica de exclusão automática do componente. Invasores não autenticados podem explorar essa fragilidade de path traversal, abusando do construtor de formulários do Avada, especificamente quando a ferramenta está configurada para armazenar os envios dos usuários diretamente no banco de dados.

Ao enviar uma carga maliciosa estruturada com sequências de escape (como `../../`), o atacante consegue manipular o destino final do comando de limpeza e apontar para arquivos confidenciais localizados fora do diretório de uploads pretendido. Um exemplo de vetor de ataque envolve o envio de caminhos que apontam diretamente para o arquivo estrutural `wp-config.php`. Devido à falta de checagem e contenção de diretório, a rotina automatizada de privacidade do plugin processa o comando e apaga o arquivo utilizando funções nativas do WordPress. O processo de limpeza pode ser disparado imediatamente pelo invasor por meio de parâmetros específicos do formulário, sem exigir qualquer interação com administradores.

### Riscos de controle total e histórico de correção

A exclusão de arquivos vitais como o `wp-config.php` força o WordPress a retornar ao seu estado inicial de configuração de fábrica. Nesse cenário de desastre operacional, um agente malicioso pode acessar a página inicial, conectar o site a um banco de dados externo sob seu controle e concluir uma instalação fraudulenta, assumindo o controle total do site e obtendo a capacidade de executar códigos no servidor.

A linha do tempo do tratamento da vulnerabilidade mostra que o problema foi reportado originalmente em 13 de maio de 2026 e validado no dia 15 de maio. A equipe técnica do Avada desenvolveu a correção em 19 de maio, incluindo a trava de segurança de forma oficial no lançamento da versão 3.15.4 do Avada Builder em 2 de junho de 2026. Administradores de sites e equipes de TI que utilizam versões defasadas são orientados a aplicar a atualização corretiva imediatamente para neutralizar o risco de exploração ativa.