逾100萬個WordPress網站受影響，Avada Builder外掛程式修補執行任意程式碼與SQL注入漏洞

這些漏洞是由3位資安研究人員透過Wordfence漏洞懸賞計畫揭露，並由Wordfence向Avada通報。而比起Avada原廠更新公告只提及簡要的安全修補資訊，Wordfence漏洞資料庫中的Avada Builder項目，更完˙整提供包括CVE編號、CVSS嚴重性評分等詳細資訊，我們引用的漏洞資料也是來自Wordfence資料庫。

這次Avada Builder修補的漏洞中，最嚴重的是CVE-2026-6279，CVSS嚴重性評分達9.8分，可能導致未經身分驗證的攻擊者遠端執行任意程式碼。其次是CVE-2026-4798，CVSS嚴重性評分為7.5分，可能導致未經身分驗證的攻擊者利用SQL注入漏洞，從資料庫中取得敏感資訊。

由於Avada Builder是WordPress網站主題工具Avada的重要組成元件，因此漏洞影響範圍不僅限於個別外掛程式，而可能波及大量採用Avada的WordPress網站。Avada原廠已於Avada Builder 3.15.3版完成前述漏洞修補，並隨Avada 7.15.3版本更新一併提供給用戶，用戶應儘速更新。