Недостатки плагина Avada Builder WordPress позволяют украсть учетные данные сайта

В плагине Avada Builder для WordPress обнаружены две уязвимости: CVE-2026-4782 (чтение произвольных файлов) и CVE-2026-4798 (SQL-инъекция). Первая требует аунтификации на уровне подписчика (версии до 3.15.2), вторая доступна без аунтификации при условие деактивации WooCommerce (версии до 3.15.1). Исправления выпущены в версиях 3.15.2 и 3.15.3. Исследователь Рафи Мухаммед получил $3386 и $1067.