📋 漏洞概述

Avada Builder (fusion-builder)插件存在未授权远程代码执行漏洞，攻击者可利用PHP函数注入执行任意代码。

📋 基础信息

🔬 漏洞根因

在`Fusion_Builder_Conditional_Render_Helper::get_value()`的`wp_conditional_tags`分支中，base64解码后的JSON数据未经过任何白名单校验，直接传入`call_user_func()`。`fusion_get_widget_markup` AJAX端点对未认证用户可用，虽然通过nonce保护，但该nonce由用户ID 0生成，并在包含`[fusion_post_cards]`或`[fusion_table_of_contents]`元素的公开页面JavaScript输出中可预测地暴露，导致未认证攻击者可获取nonce并利用该端点触发远程代码执行。

🎯 攻击场景

1. 攻击者访问包含`[fusion_post_cards]`或`[fusion_table_of_contents]`元素的公开页面，从页面JavaScript输出中提取`fusion_load_nonce`值。 2. 攻击者构造一个base64编码的JSON blob，其中包含恶意的PHP函数调用（例如`system('id')`）作为`wp_conditional_tags`参数。 3. 攻击者向`wp-admin/admin-ajax.php`发送POST请求，设置action=`fusion_get_widget_markup`，nonce为提取到的值，并附上构造的payload。 4. 服务器端`get_value()`函数解码JSON blob，将恶意函数名和参数直接传递给`call_user_func()`执行。 5. 攻击者通过回显或带外通道获取命令执行结果，实现完全控制网站。

💥 漏洞影响

远程未授权攻击者可在受影响WordPress站点上执行任意PHP代码，导致完全服务器接管、数据泄露、网站篡改或进一步横向渗透。影响所有使用Avada Builder <=3.15.2的站点，无需任何认证。

🛡️ 修复建议

升级Avada Builder (fusion-builder)至版本3.15.3或更高版本；临时缓解措施包括：删除包含`[fusion_post_cards]`或`[fusion_table_of_contents]`元素的页面，或禁用相关短代码，以及通过Web应用防火墙(WAF)规则拦截对`admin-ajax.php?action=fusion_get_widget_markup`的请求，特别是含有base64编码参数的请求。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-6279
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-6279
• 原始来源（NVD-Latest）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-24 00:46 | 来源: NVD-Latest