Miljoonalla sivustolla käytössä olevan Avada Builder WordPress-lisäosan kaksi haavoittuvuutta mahdollistavat tietokantasalaisuuksien varastamisen ja tiedostojen lukemisen.
WordPress-yhteisön suosituimmassa Avada Builder -lisäosassa on paljastunut kaksi vakavaa tietoturvahaavoittuvuutta, jotka uhkaavat arviolta miljoonaa aktiivista WordPress-sivustoa. Haavoittuvuudet mahdollistavat hyökkääjille mielivaltaisten tiedostojen lukemisen palvelimelta sekä arkaluonteisten tietojen kaivamisen suoraan tietokannasta ilman käyttöoikeuksia.
Ensimmäinen haavoittuvuus (CVE-2024-5441, CVSS 7.5) on Local File Inclusion -puutos, joka antaa hyökkääjälle mahdollisuuden lukea järjestelmätiedostoja wp-config.php mukaan lukien. Toinen kriittisempi haavoittuvuus (CVE-2024-5442, CVSS 9.8) on SQL-injektio, joka sallii tietokannan täydellisen kompromissoinnin mukaan lukien käyttäjätunnukset, salasanat ja muut arkaluonteiset tiedot.
Porkchop-nimisen tietoturvatutkijan löytämät haavoittuvuudet ovat erityisen vaarallisia, koska ne eivät vaadi sisäänkirjautumista WordPress-sivustolle. Avada Builder on yksi maailman suosituimmista WordPress-teemoista ja rakennustyökaluista, mikä tekee haavoittuvuuksien potentiaalisesta vaikutusalueesta massiivisen.
ThemeFusion on julkaissut korjauksen Avada-teeman versiossa 7.11.9 toukokuun 14. päivänä 2026. WordPress-sivustojen ylläpitäjien tulee päivittää lisäosa välittömästi ja tarkistaa mahdolliset kompromissointijäljet lokitiedostoista. MSP-toimittajien kannattaa priorisoida tämä päivitys asiakassivustoilleen turvallisuusriskin vakavuuden vuoksi.
Tärkeimmät pointit
- CVE-2024-5441: Local File Inclusion (CVSS 7.5), lukee wp-config.php ja järjestelmätiedostot
- CVE-2024-5442: SQL-injektio (CVSS 9.8), täydellinen tietokantakompromissi
- Arvioitu miljoona aktiivista WordPress-asennusta uhattuna
- Ei vaadi sisäänkirjautumista, hyökkäykset mahdollisia suoraan
- Korjaus saatavilla Avada-teeman versiossa 7.11.9 (julkaistu 14.5.2026)
- Porkchop-tutkijan löytämät haavoittuvuudet
- Välitön päivitystarve ja lokitarkistukset suositeltavaa
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 15.5.2026
