Kostenlos scannen
Analyse ausstehendCVE-2026-1509

CVE-2026-1509: WordPress Action Execution in Avada Builder

Plattform

wordpress

Komponente

fusion-builder

Behoben in

3.15.2

Auf NVD ansehen
Speichern

CVE-2026-1509 affects the Avada (Fusion) Builder plugin for WordPress. This vulnerability allows authenticated attackers, with Subscriber-level access or higher, to execute arbitrary WordPress action hooks without proper authorization checks. The issue resides within the outputactionhook() function, which accepts user-controlled input. The vulnerability is fixed in version 3.15.2.

WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen

Auswirkungen und Angriffsszenarien

Exploitation of CVE-2026-1509 can lead to privilege escalation, file inclusion, denial of service, or other security impacts. An attacker can leverage this vulnerability to execute arbitrary code on the WordPress server, potentially gaining control of the entire website. The ability to trigger any registered WordPress action hook provides a wide range of attack vectors. For example, an attacker could use this vulnerability to install malicious plugins, modify existing files, or redirect users to phishing websites. The impact is amplified in environments where the Avada plugin is used extensively, as a successful attack could compromise a large number of websites.

Ausnutzungskontext

CVE-2026-1509 was published on 2026-04-14. The vulnerability is classified as Arbitrary WordPress Action Execution. No public exploits are currently known. The vulnerability is not listed on KEV or EPSS. Refer to the plugin vendor's security advisory for more information.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.04% (13% Perzentil)

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N5.4MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentefusion-builder
Herstellerwordfence
Höchstversion3.15.1
Behoben in3.15.2

Schwachstellen-Klassifikation (CWE)

CWE-94

Zeitleiste

  1. Veröffentlicht
  2. Geändert
  3. EPSS aktualisiert

Mitigation und Workarounds

The primary mitigation is to upgrade the Avada (Fusion) Builder plugin to version 3.15.2 or later. Until the upgrade is possible, restrict access to the Dynamic Data feature to authorized personnel only. Implement a Web Application Firewall (WAF) with rules to block suspicious requests targeting the outputactionhook() function. Regularly scan the WordPress installation for vulnerabilities using automated tools. After upgrading, confirm the fix by attempting to trigger an action hook via the Dynamic Data feature and verifying that it is denied without proper authorization.

So beheben

Aktualisieren Sie auf Version 3.15.2 oder eine neuere gepatchte Version

Häufig gestellte Fragen

Was ist CVE-2026-1509 — Privilege Escalation in Avada (Fusion) Builder?

It's a vulnerability in Avada (Fusion) Builder allowing arbitrary WordPress action execution.

Bin ich von CVE-2026-1509 in Avada (Fusion) Builder betroffen?

If you're using Avada (Fusion) Builder versions ≤3.15.1, you are potentially vulnerable.

Wie behebe ich CVE-2026-1509 in Avada (Fusion) Builder?

Upgrade to version 3.15.2. Restrict access to the Dynamic Data feature as a temporary measure.

Wird CVE-2026-1509 aktiv ausgenutzt?

Currently, there are no known public exploits targeting this vulnerability.

Wo finde ich den offiziellen Avada (Fusion) Builder-Hinweis für CVE-2026-1509?

Refer to the plugin vendor's advisory and the NVD entry for CVE-2026-1509.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
WordPress

Erkenne diese CVE in deinem Projekt

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannen
liveKostenloser Scan

Scannen Sie jetzt Ihr WordPress-Projekt – kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...