Yaklaşık bir milyon aktif kuruluma sahip Avada Builder WordPress eklentisinde tespit edilen iki güvenlik açığı, bilgisayar korsanlarının rastgele dosyaları okumasına ve veritabanından hassas bilgileri çıkarmasına olanak tanıyor. CVE-2026-4782 Avada Builder açığı, eklentinin 3.15.2’ye kadar olan tüm sürümlerinde, en az abone seviyesinde erişime sahip kimliği doğrulanmış kullanıcılar tarafından sunucudaki herhangi bir dosyanın içeriğinin okunmasına izin veriyor. CVE-2026-4798 numaralı diğer güvenlik sorunu ise kimlik doğrulaması gerektirmeyen bir SQL enjeksiyon açığı olarak tanımlanıyor.

Abone Seviyesindeki Kullanıcılar Bile Kritik Dosyalara Erişebiliyor

Wordfence’in açıklamasına göre CVE-2026-4782, eklentinin kısa kod oluşturma işlevselliği ve custom_svg parametresi aracılığıyla rastgele dosya okumaya olanak tanıyor. WordPress dosya okuma güvenlik açığı sayesinde sorun, eklentinin dosya türlerini veya kaynaklarını düzgün şekilde doğrulamamasından kaynaklanıyor. Bu sayede saldırganlar, veritabanı kimlik bilgilerini ve şifreleme anahtarlarını içeren wp-config.php gibi hassas dosyalara erişebiliyor. wp-config.php’ye erişim, bir yönetici hesabının tehlikeye girmesine ve sitenin tamamen ele geçirilmesine yol açabiliyor.

CVE-2026-4798 SQL enjeksiyon hatası, Avada Builder’ın 3.15.1’e kadar olan sürümlerini etkiliyor. Bu sorun, user-controlled input’un product_order parametresinden uygun sorgu hazırlığı yapılmadan bir SQL ORDER BY cümlesine eklenmesi nedeniyle ortaya çıkıyor. WooCommerce devre dışı bırakıldığında bile veritabanı tabloları bozulmadan kaldığı için saldırganlar bu açığı kullanarak site veritabanından parola hash’leri de dahil olmak üzere hassas bilgileri çekebiliyor.

WordPress Site Sahipleri İçin Kritik Güncelleme Uyarısı

Avada Builder güvenlik zafiyeti nedeniyle etkilenen web sitesi sahiplerinin ve yöneticilerinin eklentiyi en kısa sürede 3.15.3 sürümüne güncellemeleri öneriliyor. Avada Builder güvenlik güncellemesi için iki sorun 21 Mart’ta Wordfence’e iletildi ve 24 Mart’ta Avada Builder yayıncısına raporlandı. Kısmi bir düzeltme olan 3.15.2 sürümü 13 Nisan’da yayınlanırken tamamen yamalanmış 3.15.3 sürümü 12 Mayıs’ta kullanıma sunuldu.

👉️ İlginizi Çekebilir: Microsoft Exchange’te Aktif Olarak Kullanılan Sıfır Gün Açığı İçin Geçici Önlem Yayınladı

WordPress site yetkisiz erişim riski taşıyan bu açıklar, özellikle eklentinin yaygın kullanımı düşünüldüğünde binlerce siteyi tehdit ediyor. Kullanıcı kaydına izin veren sitelerin, güncellemeyi yapana kadar yeni kayıtları geçici olarak durdurmaları da ek bir güvenlik önlemi olarak değerlendirilebilir.