Die erste Lücke, CVE-2026-4782, liegt laut Wordfence in der Funktion zur Verarbeitung von Shortcodes und konkret im Parameter custom_svg. Das Plugin prüft Dateitypen und -quellen nicht ausreichend, sodass sich auch sensible Dateien wie wp-config.php auslesen lassen — jene Datei, die üblicherweise die Datenbank-Zugangsdaten und kryptografische Schlüssel enthält.
Der Zugriff auf wp-config.php kann zur Übernahme eines Administratorkontos und damit zur vollständigen Kompromittierung der Website führen. Die Schwachstelle wurde zwar nur als mittelschwer eingestuft, weil sie Abonnenten-Rechte voraussetzt. Diese Hürde ist in der Praxis jedoch gering, da viele WordPress-Seiten eine Nutzerregistrierung anbieten.
Die zweite Schwachstelle, CVE-2026-4798, ist eine zeitbasierte blinde SQL-Injection und betrifft Avada Builder bis einschließlich Version 3.15.1. Ursache ist, dass nutzerkontrollierte Eingaben aus dem Parameter product_order ohne ordnungsgemäße Aufbereitung in eine SQL-ORDER-BY-Klausel eingefügt wurden.
Unauthentifizierte Angreifer können darüber vertrauliche Datenbankinhalte auslesen, darunter Passwort-Hashes. Voraussetzung ist allerdings, dass WooCommerce zuvor genutzt und anschließend deaktiviert wurde und dessen Datenbanktabellen noch intakt sind.
Beide Lücken wurden vom Sicherheitsforscher Rafie Muhammad gefunden und über das Wordfence Bug Bounty Program gemeldet; dafür erhielt er 3.386 US-Dollar beziehungsweise 1.067 US-Dollar. Eingereicht wurden sie am 21. März bei Wordfence und am 24. März an den Herausgeber von Avada Builder gemeldet.
Ein teilweiser Fix erschien mit Version 3.15.2 am 13. April, die vollständig gepatchte Version 3.15.3 folgte am 12. Mai. Betreibern betroffener Websites wird geraten, zeitnah auf Version 3.15.3 zu aktualisieren.