SchwachstellenHackerangriffeDatenschutz

Kritische Sicherheitslücken im Avada Builder WordPress-Plugin gefährden Millionen von Websites

Von CyberDeutsch Redaktion
Kritische Sicherheitslücken im Avada Builder WordPress-Plugin gefährden Millionen von Websites
Zusammenfassung

Das beliebte WordPress-Plugin Avada Builder, das auf schätzungsweise einer Million aktiven Websites installiert ist, weist zwei kritische Sicherheitslücken auf, die es Angreifern ermöglichen, sensible Anmeldedaten zu stehlen und Datenbanken auszulesen. Die erste Schwachstelle (CVE-2026-4782) erlaubt authentifizierten Nutzern ab Abonnenten-Status, über manipulierte Shortcode-Parameter auf beliebige Dateien des Servers zuzugreifen — insbesondere auf die Datei wp-config.php, die kritische Datenbankzugangsdaten und Verschlüsselungsschlüssel enthält. Die zweite Lücke (CVE-2026-4798) ist eine SQL-Injection, die ohne Authentifizierung ausgenutzt werden kann, sofern das WooCommerce-Plugin zuvor aktiviert und dann deaktiviert wurde. Für deutsche Website-Betreiber, Agenturen und Unternehmen, die das Avada-Theme nutzen, stellt dies eine erhebliche Gefahr dar, da eine Kompromittierung zum vollständigen Siteübernahme führen kann. Die Patches wurden Ende April respektive Mitte Mai veröffentlicht, sodass dringende Aktualisierungen auf Version 3.15.3 erforderlich sind, um diese Risiken zu eliminieren.

Die beiden Sicherheitslücken wurden von dem Sicherheitsforscher Rafie Muhammad entdeckt und über das Wordfence Bug Bounty Program verantwortungsvoll offengelegt. Für seine Funde erhielt Muhammad Prämien in Höhe von 3.386 und 1.067 US-Dollar.

Die erste Lücke trägt die Bezeichnung CVE-2026-4782 und ermöglicht das Auslesen beliebiger Dateien. Sie betrifft alle Versionen bis einschließlich 3.15.2 und erfordert einen angemeldeten Benutzer mit mindestens Abonnent-Zugang (Subscriber-Level). Die Schwachstelle existiert in der Shortcode-Rendering-Funktionalität des Plugins, speziell durch einen nicht ordnungsgemäß validierten Parameter namens custom_svg. Dies ermöglicht Angreifern, auf sensible Dateien wie wp-config.php zuzugreifen – eine der gefährlichsten möglichen Kompromittierungen, da sie direkt zur vollständigen Übernahme von Administrator-Konten und der gesamten Website führen kann.

Obwohl diese Lücke als mittelschwerwiegend eingestuft wurde – weil sie Subscriber-Zugang erfordert – stellt dies in der Praxis keine nennenswerte Hürde dar: Viele WordPress-Websites ermöglichen öffentliche Benutzerregistrierung, was Angreifern den erforderlichen Zugang leicht verschafft.

Die zweite Schwachstelle, CVE-2026-4798, ist eine zeitbasierte Blind-SQL-Injection, die noch kritischer ist. Sie betrifft Versionen bis 3.15.1 und kann von unauthentifizierten Angreifern ausgenutzt werden. Das Problem: Der Parameter product_order wird unsanitiert in eine SQL ORDER BY-Klausel eingefügt. Die Ausnutzung setzt allerdings voraus, dass WooCommerce installiert und anschließend deaktiviert wurde, die Datenbanktabellen aber noch vorhanden sind – eine häufige Situation nach Plugin-Deinstallationen. Über diese Lücke können Angreifer Passwort-Hashes, E-Mail-Adressen und weitere sensible Datenbankeinträge extrahieren.

Der Patch-Prozess zog sich über mehrere Wochen hin: Die Meldung erfolgte am 21. März, die Mitteilung an den Plugin-Hersteller am 24. März. Eine Teilfix kam als Version 3.15.2 am 13. April, die vollständige Reparatur als Version 3.15.3 erst am 12. Mai.

Für deutschsprachige Website-Betreiber gilt: Ein unmittelbares Update auf Version 3.15.3 ist zwingend erforderlich. Darüber hinaus sollten betroffene Websites überprüfen, ob unbefugte Zugriffe stattgefunden haben – etwa durch die Analyse von Server-Logs. Im Fall eines tatsächlichen Datenlecks besteht eine sofortige Meldepflicht gegenüber dem Bundesdatenschutzbeauftragten und den betroffenen Nutzern nach DSGVO, mit möglichen Bußgeldern bis zu 4 Prozent des Jahresumsatzes.

Ähnliche Artikel