Fuente base de datos: Wordfence Intelligence

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) PHP Object Injection en Fusion Builder (vulnerabilidad) - version 3.15.5

PLUGIN HIGH CVE-2026-54194

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en Avada (Fusion) Builder, específicamente en versiones hasta la 3.15.4, que permite la inyección de objetos PHP por usuarios autenticados con rol de Contributor o superior. Este fallo, clasificado con una severidad alta (CVSS 7.5), puede comprometer la seguridad operativa del sitio.

Contexto técnico

El fallo se origina en el plugin Avada (Fusion) Builder, donde un usuario autenticado puede inyectar objetos PHP maliciosos a través de ciertas funciones del plugin. La superficie de ataque se centra en la interacción de usuarios con privilegios limitados, lo que amplifica el riesgo si un atacante obtiene acceso a una cuenta comprometida.

Impacto potencial

La explotación de esta vulnerabilidad puede permitir a un atacante ejecutar código arbitrario en el servidor, lo que podría resultar en la toma de control total del sitio web. Esto no solo afecta la integridad de los datos, sino que también puede impactar negativamente en la reputación del negocio y en la confianza de los usuarios.

Vector de explotación

La explotación común de esta vulnerabilidad implica que un atacante autenticado utilice funciones del plugin para enviar datos manipulados, lo que resulta en la ejecución de código PHP no autorizado.

Mitigación recomendada

Actualizar el plugin Avada (Fusion) Builder a la versión 3.15.5 o superior. Revisar y revocar accesos innecesarios a cuentas de usuario con privilegios de Contributor o superiores. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para usuarios con acceso administrativo.

Señales de detección

Monitorizar logs de acceso para detectar actividades inusuales de usuarios autenticados, así como configuraciones que permitan la ejecución de código PHP no autorizado.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.15.5. No se han reportado casos de explotación en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) Privilege Escalation

CRITICAL PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.3 - Unauthenticated Arbitrary File Deletion via Form Entry Value

HIGH PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.4 - Authenticated (Contributor+) Arbitrary File Deletion

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.2 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Multiple Shortcodes

CRITICAL PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.2 - Unauthenticated Remote Code Execution via PHP Function Injection via 'render_logics' Shortcode Attribute via Widget AJAX Handler

HIGH PLUGIN

fusion-builder

Avada Builder <= 3.15.1 - Unauthenticated SQL Injection via 'product_order' Parameter

MEDIUM PLUGIN

fusion-builder

Avada Builder <= 3.15.2 - Authenticated (Subscriber+) Arbitrary File Read via 'custom_svg' Shortcode Parameter

MEDIUM PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.1 - Authenticated (Subscriber+) Limited Arbitrary WordPress Action Execution

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto