Fuente base de datos: Wordfence Intelligence

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) Arbitrary File Deletion en Fusion Builder (vulnerabilidad) - version 3.15.5

PLUGIN HIGH CVE-2026-54193

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en Avada (Fusion) Builder, permitiendo la eliminación arbitraria de archivos por usuarios autenticados con rol de contribuidor o superior. Este fallo puede comprometer la integridad de los archivos del sitio, afectando su operatividad y seguridad general.

Contexto técnico

La vulnerabilidad se encuentra en las versiones de Avada (Fusion) Builder hasta la 3.15.4, donde un usuario autenticado con permisos de contribuidor o superiores puede ejecutar comandos que resultan en la eliminación no autorizada de archivos en el servidor. La superficie de ataque se limita a usuarios que ya han iniciado sesión en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante eliminar archivos críticos del servidor, lo que puede llevar a la pérdida de datos, desconfiguración del sitio y potenciales interrupciones en el servicio. Esto puede traducirse en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

La explotación de esta vulnerabilidad se realiza mediante la manipulación de peticiones HTTP por parte de un usuario autenticado, lo que permite ejecutar acciones no autorizadas para eliminar archivos del sistema.

Mitigación recomendada

Actualizar Avada (Fusion) Builder a la versión 3.15.5 o superior para corregir la vulnerabilidad. Revisar los permisos de usuario y limitar el acceso a funciones críticas solo a roles necesarios. Implementar copias de seguridad regulares para restaurar archivos en caso de eliminación no autorizada.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales de eliminación de archivos, especialmente por parte de usuarios con permisos de contribuidor o superiores.

Alcance afectado

Las versiones de Avada (Fusion) Builder hasta la 3.15.4 son vulnerables. Se recomienda a los usuarios actualizar a la versión 3.15.5 para mitigar el riesgo. No se han confirmado otros escenarios afectados.

Vulnerabilidades relacionadas

HIGH PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) Privilege Escalation

CRITICAL PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.3 - Unauthenticated Arbitrary File Deletion via Form Entry Value

HIGH PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) PHP Object Injection

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.2 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Multiple Shortcodes

CRITICAL PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.2 - Unauthenticated Remote Code Execution via PHP Function Injection via 'render_logics' Shortcode Attribute via Widget AJAX Handler

HIGH PLUGIN

fusion-builder

Avada Builder <= 3.15.1 - Unauthenticated SQL Injection via 'product_order' Parameter

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.15.2 - Authenticated (Subscriber+) Arbitrary File Read via 'custom_svg' Shortcode Parameter

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.1 - Authenticated (Subscriber+) Limited Arbitrary WordPress Action Execution

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto