פגמי אבטחה רבים זוהו בערכת העיצוב Avada ובתוסף Avada Builder אשר נמצאים בשימוש נרחב בקרב בעלי אתרי וורדפרס. פגמי אבטחה אלו שנחשפו על ידי חוקר האבטחה בחברת Patchstack – רפי מוחמד, כוללים מספר לא מבוטל של אתרי וורדפרס החשופים לפרצות אבטחה פוטנציאליות.
בתוך נקודות התורפה הללו מציג תוסף Avada Builder שתי חולשות אבטחה. הראשונה היא הזרקת SQL, כאשר תוך ניצול פגיעות זו יכולים האקרים לפרוץ לנתונים רגישים ולהפעיל קוד מרחוק. השנייה היא פגיעות Reflected Cross-Site Scripting (XSS) המאפשרת להאקרים לגנוב מידע רגיש וגם עלולה להגדיל את ההרשאות שלהם באתרי וורדפרס אליהם פרצו. Patchstack גילו גם נקודות תורפה שונות בערכת העיצוב Avada, כמו למשל פגיעות של Contributor+ המאפשרת העלאת קבצים שרירותית. בתרחיש זה משיגים ההאקרים יכולת להעלות קבצים שרירותיים העלולים להכיל קבצי PHP זדוניים או קבצי zip זדוניים ובכך לאפשר ביצוע קוד מרחוק ופגיעה בשלמות האתר.
פגמי האבטחה דווחו למפתחי Avada ב- 6 ביולי 2023, מה שהוביל לשחרור גרסאות מתוקנות ב- 11 ביולי 2023. כדי לטפל בפגיעויות האבטחה הללו מתבקשים משתמשי וורדפרס לעדכן את פלאגין Avada Builder לגרסה 3.11.2 ואת ערכת העיצוב Avada לגרסה 7.11.2. חשוב להבין כי עדכונים מיידיים הינם חיוניים לשמירה על אבטחת האתר.
