CVE-2026-8713
Kritisk

CVE-2026-8713: Kritisk fejl i Avada Builder til WordPress

Kritisk fejl i Avada Builder til WordPress lader hackere slette filer på din server og overtage hjemmesiden fuldstændigt.

CVSS Score
9.1
Offentliggjort
19/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

Avada Builder (også kaldet Fusion Builder) er et populært WordPress-plugin, der bruges til at designe hjemmesider visuelt. En kritisk sikkerhedsfejl i alle versioner op til og med 3.15.3 gør det muligt for en angriber at slette vilkårlige filer på din webserver — uden at skulle logge ind eller have nogen form for adgang i forvejen.

Fejlen opstår, fordi pluginnet ikke tjekker filstier ordentligt (en fejltype kaldet ‘path traversal’, CWE-22), når det rydder op i gemte formulardata. En angriber kan snyde systemet til at slette kritiske systemfiler, f.eks. WordPress-konfigurationsfilen wp-config.php, og derefter installere ondsindet kode på siden.

Hvem rammer det?

Sårbarheden rammer dig, hvis din hjemmeside bruger WordPress med Avada Builder-pluginnet i version 3.15.3 eller ældre — og du har oprettet mindst ét Avada-kontaktformular, der er sat til at gemme indsendte svar i databasen. Det er en meget udbredt opsætning, da Avada er et af de mest solgte WordPress-temaer og sidebuildere på markedet. Sårbarheden kræver ingen login og ingen handling fra dig eller dine brugere, hvilket gør den særlig farlig.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan følgende ske:

  • Sletning af kritiske filer: Angriberen kan slette din wp-config.php-fil, som indeholder adgangskoder til din database.
  • Overtagelse af hjemmesiden: Når wp-config.php er slettet, kan angriberen køre WordPress-installationsguiden og oprette en ny administratorkonto — og dermed overtage hele siden.
  • Malware og bagdøre: Med fuld adgang kan angriberen lægge skadelig kode ind, stjæle kundedata eller bruge din server til at angribe andre.
  • Nedbrud og datatab: Sletning af andre systemfiler kan gøre din hjemmeside utilgængelig og medføre tab af data.

Hvor alvorligt er det?

Sårbarheden er vurderet til en CVSS-score på 9.1 ud af 10 — Kritisk. Det skyldes, at angrebet kan udføres over internettet, kræver ingen teknisk forberedelse, ingen adgangskoder og ingen hjælp fra dig eller dine besøgende. Konsekvenserne er meget alvorlige: din hjemmeside kan overtages fuldstændigt. Det eneste, der holder scoren fra maksimale 10, er at selve datafortroligheden ikke direkte kompromitteres i første trin — men når angriberen overtager siden, er det reelt muligt at tilgå alle data alligevel.

Hvad gør jeg nu?

Du skal handle hurtigt. Følg disse trin så snart muligt:

  1. Tjek om du er ramt: Log ind på dit WordPress-dashboard og gå til Plugins. Find ‘Avada Builder’ eller ‘Fusion Builder’ og notér versionsnummeret.
  2. Opdatér pluginnet øjeblikkeligt: Hvis du kører version 3.15.3 eller ældre, skal du opdatere til den nyeste version, der indeholder en rettelse. Gå til Plugins → Tilgængelige opdateringer.
  3. Tjek dine formularer: Gå igennem dine Avada-formularer og se, om de er sat til at gemme indsendte data i databasen. Deaktivér denne funktion midlertidigt, hvis du ikke kan opdatere med det samme.
  4. Tjek om wp-config.php stadig er der: Kontakt din webhost eller it-ansvarlige og bed dem bekræfte, at filen stadig er intakt og uændret.
  5. Gennemgå adgangslogge: Bed din webhost om at tjekke serverlogge for usædvanlige POST-requests til wp-admin/admin-ajax.php med parameteren fusion_form_submit_ajax fra ukendte IP-adresser.
  6. Lav en sikkerhedskopi: Tag en fuld backup af din hjemmeside og database, inden du foretager ændringer.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Avada Builder til den nyeste version inden for 24 timer. Denne sårbarhed er teknisk set nem at udnytte, og angribere behøver ingen forudgående adgang til din side. Hvis du er usikker på, om du er ramt, eller hvis du har brug for hjælp til at gennemgå din sides sikkerhedstilstand, er du velkommen til at kontakte os — vi kan hurtigt vurdere situationen og hjælpe dig med at lukke hullet.

Tidslinje

19/06/2026
CVE offentliggjort i NVD
Sårbarheden CVE-2026-8713 bliver officielt registreret i NVD (National Vulnerability Database) med en kritisk CVSS-score på 9.1. Detaljer om angrebsmetoden offentliggøres.
19/06/2026
Proof-of-concept tilgængeligt
Fordi den tekniske angrebsmetode beskrives detaljeret i selve CVE-beskrivelsen, er det muligt for angribere at rekonstruere og afprøve angrebet kort efter offentliggørelsen.
19/06/2026
Patch udgivet af Avada
En rettelse forventes at være tilgængelig i forbindelse med offentliggørelsen af sårbarheden. Brugere bør opdatere til den nyeste version af Avada Builder via WordPress-dashboardet.
20/06/2026
Aktiv udnyttelse forventet
Baseret på sårbarhedens lave angrebskompleksitet og det faktum at angrebsmetoden er offentligt beskrevet, forventes automatiserede scannere og angribere at begynde at udnytte fejlen inden for 24-48 timer efter offentliggørelse.

Konkrete eksempler

Sletning af wp-config.php og overtagelse af hjemmeside

En angriber finder en WordPress-side med Avada Builder og et publiceret kontaktformular. Angriberen sender en manipuleret formularindsendelse via et automatiseret script, hvor filstien er sat til ../../wp-config.php. Systemet sletter filen uden at validere stien. Angriberen besøger derefter siden, som nu viser WordPress-installationsguiden, og opretter en ny administratorkonto — og overtager dermed hele hjemmesiden.

Automatiseret masseangreb mod Avada-sider

En hackinggruppe programmerer en bot, der automatisk scanner internettet for WordPress-sider med Avada-formularer. For hver sårbar side afsendes den skadelige forespørgsel automatisk. På få timer kan hundredevis af danske hjemmesider blive kompromitteret — uden at ejerne opdager det, før skaden er sket. Virksomhedsdata, kundeoplysninger og adgangskoder til databasen kan alle være i fare.

Sletning af plugin- eller temafiler for at plante bagdør

I stedet for at slette wp-config.php vælger en mere sofistikeret angriber at slette en specifik PHP-fil i et aktivt plugin og erstatte den med en bagdør (skjult adgangsvej). Angriberen får derved vedvarende adgang til serveren, selv efter at sårbarheden er patchet, og kan overvåge siden, stjæle data eller iværksætte yderligere angreb på ubestemt tid.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

CWE-svaghedstyper

CWE-22

Original NVD-beskrivelse (engelsk)

The Avada (Fusion) Builder plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the maybe_delete_files function in all versions up to, and including, 3.15.3. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). The attack requires a published Avada form configured to save entries to the database; an unauthenticated attacker submits a path-traversal payload via the wp_ajax_nopriv_fusion_form_submit_ajax handler while also controlling the fusion_privacy_expiration_interval and privacy_expiration_action fields to force an immediate ‘delete’ cleanup, causing the planted entry to be automatically processed by the Fusion_Form_DB_Privacy shutdown-hook routine without any administrator interaction.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-8713
Offentliggjort
19/06/2026
Sidst opdateret
19/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.