Detección y corrección de la vulnerabilidad CVE-2026-8713 en el complemento Avada Builder para WordPress

A mediados de mayo, se identificó y procesó una vulnerabilidad crítica que comprometía la integridad de la infraestructura de los sitios web que utilizaban una herramienta de diseño específica dentro de la plataforma de gestión de contenidos WordPress. El comunicado oficial del suceso fue publicado a través del boletín de seguridad de la firma Wordfence el 18 de junio de 2026 detallando los pormenores del hallazgo una vez mitigado el riesgo inicial.

El incidente consistió en el descubrimiento de una vulnerabilidad de severidad crítica, catalogada como CVE-2026-8713 con una puntuación CVSS de 9.1, que afectaba al complemento Avada (Fusion) Builder en todas sus versiones hasta la 3.15.3, impactando potencialmente a más de un millón de instalaciones activas en todo el mundo. El fallo radicaba en una validación insuficiente de las rutas de archivos en la función interna encargada de la limpieza periódica de las entradas de formularios almacenadas en la base de datos, lo que permitía a atacantes no autenticados realizar la eliminación de archivos arbitrarios mediante técnicas de salto de directorio (path traversal). Al enviar parámetros manipulados a través de un formulario público, un atacante podía borrar archivos esenciales del servidor como "wp-config.php", forzando a WordPress a entrar en su estado de instalación inicial y permitiendo a un tercero tomar el control administrativo del sitio. Ante este escenario, la empresa desarrolladora reaccionó implementando y distribuyendo con rapidez la versión 3.15.4 del complemento para solventar por completo este fallo de seguridad.

Actualmente, la empresa de seguridad Wordfence ha confirmado que las reglas de su cortafuegos web están configuradas de forma activa para detectar y bloquear cualquier intento de explotación que intente utilizar el salto de directorio en los datos de los formularios de Avada. Las recomendaciones oficiales emitidas por los desarrolladores indican de manera taxativa que los administradores de sistemas que utilicen este complemento deben aplicar de forma inmediata la actualización a la versión 3.15.4 para mitigar cualquier vector de riesgo persistente en sus entornos de producción.