Uma vulnerabilidade crítica no plugin Avada Builder para WordPress pode expor mais de 1 milhão de sites a ataques de exclusão arbitrária de arquivos. A falha foi identificada como CVE-2026-8713 e recebeu pontuação CVSS 9.1, indicando alto risco. O problema afeta todas as versões do plugin até a 3.15.3. A correção foi disponibilizada na versão 3.15.4, lançada pela equipe do Avada após o reporte feito por meio do programa de recompensas da Wordfence.
A falha está ligada à forma como o plugin lida com arquivos enviados ou associados a formulários. Em determinadas configurações, um invasor sem autenticação pode manipular caminhos de arquivo e fazer com que o WordPress apague itens fora da pasta esperada.
A exploração depende da existência de um formulário público criado com o Avada e configurado para armazenar submissões no banco de dados. A partir daí, o atacante pode enviar uma entrada maliciosa e acionar a rotina de limpeza automática do plugin.
O risco mais grave envolve a exclusão de arquivos essenciais do WordPress, como o wp-config.php. Quando esse arquivo é apagado, o site pode entrar em estado de instalação, abrindo caminho para reconfiguração indevida e possível tomada completa do ambiente.
Embora o ataque tenha condições específicas, a ampla adoção do Avada aumenta a preocupação. Plugins populares costumam ser alvos frequentes porque uma única falha pode atingir grande quantidade de sites corporativos, lojas virtuais e portais de conteúdo.
Administradores devem atualizar imediatamente o Avada Builder para a versão 3.15.4 ou posterior.
