CVE-2026-8713: Kritisk fejl i Avada Builder til WordPress
Kritisk fejl i Avada Builder til WordPress lader hackere slette filer på din server og overtage hjemmesiden fuldstændigt.
Hvad er det?
Avada Builder (også kaldet Fusion Builder) er et populært WordPress-plugin, der bruges til at designe hjemmesider visuelt. En kritisk sikkerhedsfejl i alle versioner op til og med 3.15.3 gør det muligt for en angriber at slette vilkårlige filer på din webserver — uden at skulle logge ind eller have nogen form for adgang i forvejen.
Fejlen opstår, fordi pluginnet ikke tjekker filstier ordentligt (en fejltype kaldet ‘path traversal’, CWE-22), når det rydder op i gemte formulardata. En angriber kan snyde systemet til at slette kritiske systemfiler, f.eks. WordPress-konfigurationsfilen wp-config.php, og derefter installere ondsindet kode på siden.
Hvem rammer det?
Sårbarheden rammer dig, hvis din hjemmeside bruger WordPress med Avada Builder-pluginnet i version 3.15.3 eller ældre — og du har oprettet mindst ét Avada-kontaktformular, der er sat til at gemme indsendte svar i databasen. Det er en meget udbredt opsætning, da Avada er et af de mest solgte WordPress-temaer og sidebuildere på markedet. Sårbarheden kræver ingen login og ingen handling fra dig eller dine brugere, hvilket gør den særlig farlig.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan følgende ske:
- Sletning af kritiske filer: Angriberen kan slette din
wp-config.php-fil, som indeholder adgangskoder til din database. - Overtagelse af hjemmesiden: Når wp-config.php er slettet, kan angriberen køre WordPress-installationsguiden og oprette en ny administratorkonto — og dermed overtage hele siden.
- Malware og bagdøre: Med fuld adgang kan angriberen lægge skadelig kode ind, stjæle kundedata eller bruge din server til at angribe andre.
- Nedbrud og datatab: Sletning af andre systemfiler kan gøre din hjemmeside utilgængelig og medføre tab af data.
Hvor alvorligt er det?
Sårbarheden er vurderet til en CVSS-score på 9.1 ud af 10 — Kritisk. Det skyldes, at angrebet kan udføres over internettet, kræver ingen teknisk forberedelse, ingen adgangskoder og ingen hjælp fra dig eller dine besøgende. Konsekvenserne er meget alvorlige: din hjemmeside kan overtages fuldstændigt. Det eneste, der holder scoren fra maksimale 10, er at selve datafortroligheden ikke direkte kompromitteres i første trin — men når angriberen overtager siden, er det reelt muligt at tilgå alle data alligevel.
Hvad gør jeg nu?
Du skal handle hurtigt. Følg disse trin så snart muligt:
- Tjek om du er ramt: Log ind på dit WordPress-dashboard og gå til Plugins. Find ‘Avada Builder’ eller ‘Fusion Builder’ og notér versionsnummeret.
- Opdatér pluginnet øjeblikkeligt: Hvis du kører version 3.15.3 eller ældre, skal du opdatere til den nyeste version, der indeholder en rettelse. Gå til Plugins → Tilgængelige opdateringer.
- Tjek dine formularer: Gå igennem dine Avada-formularer og se, om de er sat til at gemme indsendte data i databasen. Deaktivér denne funktion midlertidigt, hvis du ikke kan opdatere med det samme.
- Tjek om wp-config.php stadig er der: Kontakt din webhost eller it-ansvarlige og bed dem bekræfte, at filen stadig er intakt og uændret.
- Gennemgå adgangslogge: Bed din webhost om at tjekke serverlogge for usædvanlige POST-requests til wp-admin/admin-ajax.php med parameteren fusion_form_submit_ajax fra ukendte IP-adresser.
- Lav en sikkerhedskopi: Tag en fuld backup af din hjemmeside og database, inden du foretager ændringer.
Opdatér inden for 24 timer
Vi anbefaler, at du opdaterer Avada Builder til den nyeste version inden for 24 timer. Denne sårbarhed er teknisk set nem at udnytte, og angribere behøver ingen forudgående adgang til din side. Hvis du er usikker på, om du er ramt, eller hvis du har brug for hjælp til at gennemgå din sides sikkerhedstilstand, er du velkommen til at kontakte os — vi kan hurtigt vurdere situationen og hjælpe dig med at lukke hullet.
Tidslinje
Konkrete eksempler
Sletning af wp-config.php og overtagelse af hjemmeside
En angriber finder en WordPress-side med Avada Builder og et publiceret kontaktformular. Angriberen sender en manipuleret formularindsendelse via et automatiseret script, hvor filstien er sat til ../../wp-config.php. Systemet sletter filen uden at validere stien. Angriberen besøger derefter siden, som nu viser WordPress-installationsguiden, og opretter en ny administratorkonto — og overtager dermed hele hjemmesiden.
Automatiseret masseangreb mod Avada-sider
En hackinggruppe programmerer en bot, der automatisk scanner internettet for WordPress-sider med Avada-formularer. For hver sårbar side afsendes den skadelige forespørgsel automatisk. På få timer kan hundredevis af danske hjemmesider blive kompromitteret — uden at ejerne opdager det, før skaden er sket. Virksomhedsdata, kundeoplysninger og adgangskoder til databasen kan alle være i fare.
Sletning af plugin- eller temafiler for at plante bagdør
I stedet for at slette wp-config.php vælger en mere sofistikeret angriber at slette en specifik PHP-fil i et aktivt plugin og erstatte den med en bagdør (skjult adgangsvej). Angriberen får derved vedvarende adgang til serveren, selv efter at sårbarheden er patchet, og kan overvåge siden, stjæle data eller iværksætte yderligere angreb på ubestemt tid.
Ofte stillede spørgsmål
Behøver jeg at have Avada-formularer aktivt i brug for at være sårbar?
Ja, angrebet kræver, at du har mindst ét publiceret Avada-kontaktformular, der er konfigureret til at gemme indsendte svar i databasen. Hvis du bruger Avada Builder udelukkende til sidelayout og ikke har sådanne formularer opsat, er risikoen lavere — men du bør stadig opdatere for en sikkerheds skyld.
Kan jeg se, om nogen allerede har angrebet min side?
Det kan du muligvis. Bed din webhost om at udtrække serverlogge og lede efter usædvanlige POST-requests til adressen
/wp-admin/admin-ajax.phpmed handlingenfusion_form_submit_ajax. Hvis dinwp-config.php-fil mangler eller er blevet ændret, er det et klart tegn på et angreb. Kontakt os, hvis du er i tvivl om, hvad du kigger efter.Hvad sker der, hvis jeg ikke kan opdatere med det samme?
Som midlertidig løsning kan du deaktivere alle Avada-formularer, der gemmer data i databasen. Du kan også bede din webhost om at blokere POST-requests til
admin-ajax.phpmed parameterenfusion_form_submit_ajaxvia en firewall-regel (WAF). Dette er dog kun en midlertidig foranstaltning — en opdatering er den eneste rigtige løsning.Er det kun min hjemmeside, der kan rammes, eller kan andre også blive påvirket?
Primært er det din hjemmeside og de data, den indeholder, der er i fare. Men hvis din server hoster flere hjemmesider (delt hosting), kan en angriber i teorien bevæge sig videre og påvirke andre sider på samme server. Kontakt din webhost for at høre, hvordan de beskytter mod dette på serverplan.
Koster det noget at opdatere Avada Builder?
Opdateringer til Avada Builder er normalt inkluderet i din eksisterende licens til Avada-temaet, som du typisk har betalt for én gang eller via en årlig supportaftale. Gå til Plugins i WordPress og tjek, om der er en tilgængelig opdatering. Hvis din licens er udløbet, kan det kræve fornyelse — men set i lyset af alvorligheden er det en investering, der er den værd.
Hvad er 'path traversal', og hvorfor er det farligt?
Path traversal (stiforsøg) er en teknik, hvor en angriber manipulerer en filsti i en anmodning til serveren, så den peger på filer uden for det tilladte område — f.eks. ved at skrive
../../wp-config.phpi stedet for et forventet filnavn. Når systemet ikke tjekker stien ordentligt, følger det blot instruktionen og udfører handlingen (i dette tilfælde sletning) på den forkerte fil. Det er en veldokumenteret og hyppigt udnyttet fejltype.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Avada (Fusion) Builder plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the maybe_delete_files function in all versions up to, and including, 3.15.3. This makes it possible for unauthenticated attackers to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php). The attack requires a published Avada form configured to save entries to the database; an unauthenticated attacker submits a path-traversal payload via the wp_ajax_nopriv_fusion_form_submit_ajax handler while also controlling the fusion_privacy_expiration_interval and privacy_expiration_action fields to force an immediate ‘delete’ cleanup, causing the planted entry to be automatically processed by the Fusion_Form_DB_Privacy shutdown-hook routine without any administrator interaction.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
