Über die Avada Builder Lücke geriet diese Woche eines der meistgenutzten WordPress-Plugins überhaupt unter Druck. Wordfence hat zwei Schwachstellen im Avada Builder offengelegt, der als Pflicht-Bestandteil des Avada-Themes auf rund 1.050.000 Sites läuft. Die Schlagzeile „eine Million Sites in Gefahr“ stimmt so allerdings nicht, und genau diese Einordnung entscheidet darüber, wie dringend Sie handeln müssen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-4798 ist eine unauthentifizierte SQL-Injection im
product_order-Parameter, bewertet mit CVSS 7.5. - Ausnutzbar ist die Lücke nur auf Sites, auf denen WooCommerce einmal installiert und danach wieder deaktiviert wurde.
- Die Schwesterlücke CVE-2026-4782 erlaubt das Auslesen sensibler Dateien wie der wp-config.php und betrifft jede ungepatchte Installation.
- Version 3.15.3 vom 12. Mai 2026 schließt beide Lücken vollständig.
Warum trifft die Lücke nicht jede Million Sites?
Der Verbreitungsgrad klingt zunächst alarmierend. Avada Builder trägt den technischen Slug fusion-builder und kommt automatisch mit jedem Avada-Theme. Wer das Theme gekauft hat, betreibt das Plugin, oft ohne es bewusst wahrzunehmen. Daraus ergeben sich die rund 1,05 Millionen aktiven Installationen.
Die Vorbedingung grenzt das tatsächliche Risiko stark ein. Die SQL-Injection in CVE-2026-4798 funktioniert nur dann, wenn auf der Seite früher WooCommerce lief und später deaktiviert wurde, die zugehörigen Datenbanktabellen aber erhalten blieben. Auf einer Seite, die nie ein WooCommerce-Setup hatte, läuft der Angriff ins Leere. Sicherheitsforscher Rafie Muhammad meldete beide Schwachstellen am 21. März 2026 über das Wordfence-Bug-Bounty-Programm.
Was kann ein Angreifer konkret abgreifen?
Die SQL-Injection ist zeitbasiert und blind. Über den product_order-Parameter schleust ein unauthentifizierter Angreifer SQL-Befehle in eine ORDER-BY-Klausel ein und liest die Datenbank Zeichen für Zeichen aus, etwa Passwort-Hashes aus der Tabelle wp_users. Ein Login braucht es dafür nicht.
Die zweite Lücke wiegt für viele Betreiber schwerer, weil sie keine WooCommerce-Vorgeschichte voraussetzt. CVE-2026-4782 erlaubt angemeldeten Nutzern bereits auf Abonnenten-Ebene, beliebige Dateien vom Server zu lesen. Dazu zählt die wp-config.php mit den Datenbank-Zugangsdaten sowie den Schlüsseln und Salts, mit denen WordPress seine Sitzungen signiert. Diese Klasse von Plugin-Schwachstellen reiht sich in eine Serie ein, die im März bereits 29 Millionen Sites über vier stille Patches betraf und zuletzt eine KI-Pipeline 300 Zero-Days in 72 Stunden finden ließ.
Ein Page-Builder, der im Theme mitreist, ist die unsichtbarste Angriffsfläche im Mittelstand. Niemand pflegt ein Plugin, von dem er nicht weiß, dass er es betreibt.
— Michael Dobler, Herausgeber Dr. Web
Wie sichern Sie Ihre Seite jetzt ab?
Aktualisieren Sie Avada Builder auf Version 3.15.3 oder neuer. Der Teilpatch 3.15.2 vom 13. April schloss nur das Datei-Leseproblem, erst 3.15.3 vom 12. Mai stopft auch die SQL-Injection. Wer manuell pflegt, prüft die installierte Version im Plugin-Manager und gleicht sie mit dem Wordfence-Advisory ab.
Falls Sie eine veraltete Version betrieben haben, sollten Sie die wp-config.php als kompromittiert behandeln. Rotieren Sie das Datenbank-Passwort und erneuern Sie die acht Schlüssel und Salts, danach kontrollieren Sie die Nutzerliste auf unbekannte Administrator-Konten. Welche Hoster automatische Updates und Plugin-Monitoring mitliefern, zeigt unser WordPress-Hosting-Vergleich. Die Auswahl des Hosters entscheidet bei solchen Lücken oft über die Reaktionszeit.
Mehr Newshunger?
