The Avada Builder plugin for WordPress is vulnerable to Arbitrary File Read in all versions up to, and including, 3.15.2 via the 'fusion_get_svg_from_file' function with the 'custom_svg' parameter of the 'fusion_section_separator' shortcode. This makes it possible for authenticated attackers, with Subscriber-level access and above, to read the contents of arbitrary files on the server, which can contain sensitive information. The vulnerability was partially patched in version 3.15.2 and fully patched in version 3.15.3.
The Avada Builder WordPress plugin contains an arbitrary file read vulnerability in versions up to 3.15.2 that allows authenticated subscribers to read sensitive files from the server via the fusion_section_separator shortcode. The vulnerability was fully patched in version 3.15.3.
تحتوي إضافة Avada Builder لـ WordPress على ثغرة في وظيفة 'fusion_get_svg_from_file' تسمح لمستخدمي المشترك وما فوق بقراءة محتويات الملفات التعسفية على الخادم. يمكن استخدام هذه الثغرة للوصول إلى معلومات حساسة مثل ملفات التكوين وبيانات قاعدة البيانات. تم إصدار إصلاح كامل في الإصدار 3.15.3.
The Avada Builder WordPress plugin contains an arbitrary file read vulnerability in versions up to 3.15.2 that allows authenticated subscribers to read sensitive files from the server via the fusion_section_separator shortcode. The vulnerability was fully patched in version 3.15.3.
Immediately update the Avada Builder plugin to version 3.15.3 or later. If immediate patching is not possible, restrict user access to the plugin functionality and disable the fusion_section_separator shortcode until the update can be applied.
قم بتحديث إضافة Avada Builder إلى الإصدار 3.15.3 أو أحدث على الفور. إذا لم يكن التحديث ممكناً فوراً، قيد وصول المستخدمين إلى وظائف الإضافة وعطّل اختصار fusion_section_separator حتى يتم تطبيق التحديث.