文章总结： AvadaBuilderWordPress插件（最高3.15.3版）存在严重漏洞CVE-2026-8713（CVSS9.1），源于fusionformdbentries类的maybedelete_files()函数路径验证不足，允许未经身份验证攻击者通过提交特制表单数据删除服务器任意文件，可能导致包括wp-config.php在内的关键文件被删，进而使网站被完全接管。该漏洞影响超百万站点，已在3.15.4版修复。 综合评分： 87 文章分类： 漏洞分析,Web安全,应用安全

WordPress关键插件漏洞或致100万个网站遭文件删除攻击

网安百色

2026年6月20日 18:22 广西

在小说阅读器读本章

去阅读

广泛使用的 Avada (Fusion) Builder WordPress 插件中发现了一个严重的安全漏洞。该缺陷可能使未经身份验证的攻击者能够删除任意文件，并可能危及超过一百万个安装站点上的整个网站。

该漏洞被标识为 CVE-2026-8713，CVSS 评分为 9.1，影响该插件的所有版本（最高至 3.15.3）。该问题已在 3.15.4 版本中得到解决。安全研究员“daroo”发现了此问题，并通过 Wordfence 漏洞赏金计划进行了报告，获得了 3,600 美元的奖励。

严重的 WordPress 插件漏洞

该漏洞源于插件的 Fusion_Form_DB_Entries 类中 maybe_delete_files() 函数内的文件路径验证不足。Avada Builder 包含一个表单功能，该功能将用户提交的内容存储在数据库中，随后使用隐私清理机制对其进行处理。

此清理例程旨在在定义的过期时间段后删除或匿名化存储的条目。然而，由于不正确的清理和缺乏路径规范化，该函数无法验证文件路径是否保留在预期的上传目录内。

攻击者可以利用此弱点，通过提交包含路径遍历序列的特制表单输入。由于插件没有使用像 realpath() 这样的函数来强制目录边界，恶意路径（例如对上传目录外敏感文件的引用）会被保留下来。

当清理过程执行时，它会将攻击者控制的 URL 转换为文件系统路径，并将其传递给 WordPress 的 wp_delete_file() 函数，该函数会删除服务器上的任意文件。

利用该漏洞需要一个配置为将条目存储在数据库中的、公开可访问的 Avada 表单。未经身份验证的攻击者可以向 wp_ajax_nopriv_fusion_form_submit_ajax 端点发送请求，将恶意负载注入表单数据中，同时操纵 fusion_privacy_expiration_interval 和 privacy_expiration_action 等参数以触发立即删除。然后，清理例程会通过关闭钩子（shutdown hook）自动处理该条目，无需管理员交互。

一个特别危险的结果是攻击者删除关键文件，如 wp-config.php。删除此文件会迫使 WordPress 进入其安装状态，允许攻击者使用恶意数据库重新配置站点，并最终通过插件或主题部署任意 PHP 代码。这可能导致完全的远程代码执行和整个站点被接管。

Wordfence 证实，其防火墙通过检测并阻止提交的表单数据中的路径遍历尝试，从而针对该漏洞利用提供保护。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《WordPress关键插件漏洞或致100万个网站遭文件删除攻击》