文章总结： AvadaBuilder插件存在严重未授权任意文件删除漏洞CVE-2026-8713，CVSS评分9.1。攻击者无需认证即可删除服务器文件，通过删除wp-config.php可完全控制网站。约百万WordPress站点受影响，需立即升级至3.15.4版本修复。 综合评分： 93 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,安全建设

百万 WordPress 网站面临风险：Avada Builder 存在严重未授权任意文件删除漏洞（CVSS 9.1）

sec随谈 sec随谈

sec随谈

2026年6月22日 09:32 北京

在小说阅读器读本章

去阅读

约百万 WordPress 网站获得紧急修复提示

一个严重的 Avada Builder 漏洞允许未经身份验证的攻击者删除服务器上的任意文件。该漏洞被追踪为 CVE-2026-8713，CVSS 评分为 9.1。Avada Builder 是一款高级拖放式页面构建插件。更为严峻的是，删除特定文件可使攻击者获得对网站的完全控制权。

漏洞的重要性

Avada Builder 随广受欢迎的 Avada 主题一同发布，因此约一百万个活跃安装均在受影响范围之内。由于无需登录即可触发漏洞，攻击门槛极低，且无需任何管理员交互即可完成文件删除操作。为此，Wordfence 将该漏洞评定为严重级别。

攻击原理

该漏洞存在于 maybe_delete_files 函数中，插件在该函数中未能对文件路径进行适当验证。它通过将上传 URL 替换为本地目录来构建文件系统路径，却跳过了任何真实路径或路径边界检查。因此，路径遍历序列得以保留并进入最终的删除目标。

随后，清理程序便会执行删除操作。该 Avada Builder 漏洞允许攻击者将删除目标指向 wp-config.php 文件。一旦该文件被删除，WordPress 将进入初始安装状态，攻击者随即可将网站连接至恶意数据库，最终实现远程代码执行。与所有文件删除漏洞一样，这可能导致网站被完全控制。

攻击者面临的一个限制条件

不过，漏洞利用并非毫无障碍。目标网站必须运行一个已发布且将条目保存至数据库的 Avada 表单，攻击者还需控制表单的隐私过期字段以强制触发即时清理。尽管如此，启用数据库存储的默认 Avada 表单即满足条件，因此大量网站仍面临真实的安全风险。

立即修复

修复程序已在 Avada Builder 3.15.4 版本中发布，管理员应立即进行更新。Avada 为全球范围内的企业网站、博客和电商平台提供支持，因此波及范围极为广泛。研究人员”daroo”通过 Wordfence 漏洞赏金计划报告了该漏洞，并获得了 3,600 美元的奖励。目前尚无大规模利用的公开迹象，但面对如此严重的漏洞，切勿拖延修复。

参考链接：

https://www.wordfence.com/blog/2026/06/critical-unauthenticated-arbitrary-file-deletion-vulnerability-patched-in-avada-builder-wordpress-plugin/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《百万 WordPress 网站面临风险：Avada Builder 存在严重未授权任意文件删除漏洞（CVSS 9.1）》