La vulnerabilidad CVE-2026-8713 en Avada Builder es un fallo crítico con puntuación CVSS 9.1 que permite a cualquier atacante no autenticado eliminar archivos arbitrarios del servidor mediante path traversal en el módulo de formularios. Borrar wp-config.php fuerza a WordPress al modo de instalación y le da al atacante control total del sitio. ThemeFusion publicó el parche el 2 de junio de 2026 con la versión 3.15.4. Más de un millón de instalaciones pueden estar expuestas.
En 30 segundos
- CVE-2026-8713 permite borrar cualquier archivo del servidor, incluido
wp-config.php, sin ningún tipo de login ni autenticación previa - Afecta a Avada Builder hasta la versión 3.15.3 inclusive, con más de un millón de instalaciones activas en riesgo
- Fallo reportado el 13 de mayo de 2026; parche disponible desde el 2 de junio con la versión 3.15.4
- Si se borra
wp-config.php, WordPress entra en el wizard de instalación y el atacante puede crear su propio usuario administrador - Solución única: actualizar a Avada Builder 3.15.4 o superior cuanto antes
Avada Builder es el constructor de páginas integrado en Avada, el tema premium de ThemeFusion con más de un millón de instalaciones activas en WordPress. La vulnerabilidad CVE-2026-8713, con puntuación CVSS 9.1, reside en el módulo de formularios del plugin y permite eliminar cualquier archivo del servidor sin autenticación, incluyendo wp-config.php, el archivo que contiene las credenciales de base de datos y la configuración principal de WordPress. Sin ese archivo, el sitio queda abierto a toma de control total.
¿Qué es CVE-2026-8713 y cuáles son las versiones vulnerables?
Un CVSS de 9.1 no deja mucho espacio para la interpretación: esto es categoría crítica, no «alta» ni «importante». Todas las versiones de Avada Builder hasta la 3.15.3 inclusive están afectadas.
La línea de tiempo oficial, según el análisis técnico de Wordfence: el 13 de mayo de 2026 se reportó el fallo inicial, el 15 de mayo ThemeFusion recibió la notificación formal, y el 2 de junio se publicó la versión 3.15.4 con la corrección. Veinte días entre notificación y parche disponible.
Eso sí: Avada se distribuye como bundle completo (tema más builder), así que el número real de instalaciones vulnerables puede ser mayor al millón que aparece en los conteos oficiales. Si compraste Avada en ThemeForest y no tenés habilitadas las actualizaciones automáticas o la licencia venció, tu sitio está en el grupo de riesgo (que no es poco).
¿Cómo funciona el ataque de path traversal en Avada Builder?
El fallo está en la función maybe_delete_files del módulo de formularios. Lo explicamos a fondo en herramientas para detectar estas vulnerabilidades.
Cuando alguien envía un formulario con un adjunto, Avada Builder guarda el archivo temporalmente y lo elimina al procesarlo. El problema: la función recibe la ruta del archivo como parámetro sin validarla correctamente. No se usa realpath() para resolver la ruta real del sistema de archivos antes de operar sobre ella, lo que permite meter secuencias ../ en el nombre del archivo, salir del directorio de uploads y llegar a cualquier parte del servidor. Una vez ahí, wp_delete_file() ejecuta el borrado sin chistar, porque nadie le verifica que el destino sea un archivo dentro del directorio permitido.
Ponele que la ruta legítima esperada sea /wp-content/uploads/tmp/formulario-adjunto.pdf. Un atacante envía en cambio ../../../../wp-config.php como nombre de archivo en la solicitud de formulario y el plugin lo borra (sí, en serio). Sin validación de boundaries, cualquier archivo del sistema queda expuesto.
¿Y por qué no necesita autenticación? El endpoint de envío de formularios es público por diseño. Cualquiera puede llenar un formulario de contacto en un sitio web. El fallo está en no separar el procesamiento de archivos del contexto de usuario autenticado: una decisión de diseño que convierte un feature completamente legítimo en vector de ataque directo.
¿Cuál es el impacto si wp-config.php fue borrado?
Sin wp-config.php, WordPress asume que nunca fue instalado. Muestra el wizard de configuración inicial.
El atacante que llega en ese momento puede ingresar sus propias credenciales de base de datos, apuntar a la BD existente del sitio, crear un usuario administrador con la contraseña que quiera, y tomar control total. No necesitó conocer la contraseña previa del admin. No necesitó acceso anterior. Solo borró un archivo y llegó primero. Para más detalles técnicos, mirá similar a lo ocurrido con otros temas.
El daño posterior a un compromiso de este tipo incluye malware inyectado en archivos de tema y plugins, redirecciones a sitios de phishing, backdoors PHP que sobreviven a una restauración superficial del sitio, spam de SEO en el contenido, y robo de datos de clientes si el sitio corre WooCommerce o cualquier sistema con datos personales. La recuperación sin backup reciente puede llevar días y costos considerables.
¿Cuántos sitios estaban en riesgo y cuándo se descubrió?
Más de un millón de instalaciones activas de Avada Builder, según INCIBE-CERT y los reportes de los principales investigadores que cubrieron el fallo.
13 de mayo de 2026: descubrimiento y reporte. 15 de mayo: notificación formal a ThemeFusion. 2 de junio: lanzamiento de la versión 3.15.4 con el parche. Una vez que un CVE con detalles técnicos se hace público, los exploits automatizados suelen aparecer en cuestión de horas. ¿Alguien publicó un exploit funcional antes del parche? No hay confirmación pública, pero los detalles técnicos disponibles son suficientes para reconstruirlo.
¿Cómo verificar si tu sitio WordPress fue atacado?
Lo primero y más urgente: verificar que wp-config.php existe y tiene el contenido esperado. Accedé vía FTP, SFTP o el administrador de archivos del hosting y confirmá que el archivo está ahí con las credenciales de base de datos, las salts de seguridad y la URL del sitio.
- Versión de Avada Builder. Chequeá en Escritorio → Actualizaciones o directamente en Plugins → Avada Builder. Si no ves 3.15.4 o superior, el sitio sigue en riesgo.
- Logs de acceso del servidor. Buscá requests POST a
admin-ajax.phpcon parámetros que contengan../o secuencias codificadas como%2F%2E%2E%2F. - Usuarios administradores desconocidos. En Usuarios → Todos los usuarios, revisá si hay cuentas que vos o tu equipo no crearon. Borralas si aparecen.
- Archivos PHP en /wp-content/uploads/. Un archivo .php en la carpeta de subidas es siempre señal de alerta. Los backdoors se ocultan ahí.
- Comportamiento inusual del sitio. Redirecciones a dominios desconocidos o advertencias del navegador sobre phishing son síntomas tardíos de un compromiso.
Para análisis más profundo, Wordfence Security tiene detección de malware y verificación de integridad de archivos en su versión gratuita.
¿Cómo actualizar Avada Builder a la versión segura?
Backup primero. Siempre. Después de eso:
- Paso 1: backup completo. Archivos y base de datos. Si usás WPVivid, UpdraftPlus o el sistema de backup de tu hosting, activalo antes de tocar nada.
- Paso 2: Escritorio → Actualizaciones. Si Avada Builder aparece en la lista con una versión disponible, actualizá desde ahí.
- Paso 3: verificar la versión instalada. Después de actualizar, confirmá que en Plugins → Avada Builder aparece 3.15.4 o superior.
- Paso 4: purgar cachés. Si usás LiteSpeed Cache, WP Rocket o similar, purgá el caché para asegurar que la versión nueva del código está activa en el servidor.
Si la actualización automática falla, puede ser porque la licencia de Avada expiró (las licencias vencidas bloquean los updates automáticos desde el repositorio de ThemeFusion). En ese caso, según los reportes de CyberSecurity News, la única alternativa es descargar el zip actualizado desde tu cuenta en ThemeFusion e instalarlo manualmente via Plugins → Subir plugin. El archivo se sobreescribe y el sitio queda actualizado sin necesidad de licencia activa para esa operación puntual.
¿Qué hacer si tu sitio ya fue atacado por esta vulnerabilidad?
Pasos inmediatos, en orden:
- Tomá el sitio offline. Modo de mantenimiento o desde el panel del hosting. No dejes que un sitio comprometido siga sirviendo tráfico.
- Backup del estado actual. Aunque esté comprometido. Lo necesitás para análisis forense posterior.
- Restaurar desde backup limpio. Anterior a la fecha del ataque. Verificá qué snapshots automáticos tiene disponibles tu hosting.
- Sin backup disponible. Reconstruí
wp-config.phpmanualmente con las credenciales de base de datos del panel de tu hosting. Regenerá las salts usando el generador oficial de WordPress. Cambiá contraseñas de base de datos y FTP. - Auditar usuarios administradores. Eliminá cualquier cuenta que no reconozcas.
- Scan completo de malware. Wordfence o Security Ninja. Revisá especialmente la carpeta uploads y los archivos de tema activo.
El hosting importa acá y no es un detalle menor: si tu sitio está en un proveedor que incluye backups automáticos diarios, la restauración es cuestión de minutos. Opciones como donweb.com incluyen backups automáticos en sus planes de hosting WordPress. Si estás en un hosting sin backups automáticos y no tenés uno propio, la recuperación de un sitio comprometido puede ser un trabajo de días.
¿Hay alternativas confiables a Avada Builder si querés cambiar de page builder?
Antes de migrar: no lo hagas por este CVE. Actualizás a 3.15.4 y el problema está resuelto. Una migración de page builder implica rediseñar layouts, reconfigurar componentes y testing exhaustivo. Hacerlo por pánico genera más problemas de los que evita. Esto se conecta con lo que analizamos en como en otras vulnerabilidades de plugins.
Si ya venías evaluando alternativas, estas son las opciones principales. Ningún builder tiene historial limpio para siempre: el diferenciador real es la disciplina de actualización, no la herramienta elegida.
| Page Builder | Precio (2026) | CVE crítico reciente | Performance | Mejor para |
|---|---|---|---|---|
| Elementor | Desde USD 59/año | Historial documentado | Medio | Usuarios no técnicos, flexibilidad visual |
| Divi (Elegant Themes) | USD 89/año | Sin CVE crítico reciente | Medio | Diseño visual avanzado |
| Oxygen Builder | USD 129 pago único | Sin CVE crítico reciente | Alto | Desarrolladores que priorizan performance |
| Breakdance | USD 149/año | Sin CVE crítico reciente | Alto | Proyectos modernos, desarrolladores |
| WPBakery | USD 64 pago único | Historial documentado | Bajo-medio | Compatibilidad con temas legacy |

¿Qué está confirmado y qué no sobre CVE-2026-8713?
- Confirmado: CVSS 9.1, borrado arbitrario de archivos sin autenticación vía path traversal en el módulo de formularios de Avada Builder
- Confirmado: Afecta todas las versiones hasta 3.15.3 inclusive
- Confirmado: Parche disponible en la versión 3.15.4, lanzada el 2 de junio de 2026
- Confirmado: Más de 1 millón de instalaciones activas potencialmente expuestas al momento de la divulgación
- Sin confirmar: Si hubo explotación masiva antes de la publicación del parche; no hay reportes públicos de ataques a escala por este CVE específico
- Sin confirmar: Cuántas de esas instalaciones ya actualizaron a 3.15.4; los conteos de adopción de versiones demoran semanas en reflejar la realidad
Errores comunes al responder a esta vulnerabilidad
Actualizar sin hacer backup previo
La actualización de un plugin major puede romper compatibilidades con otros plugins o con el tema. Si actualizás sin backup y algo se rompe, quedás sin opción de rollback y con un sitio caído encima del problema de seguridad. El backup va siempre antes.
Confundir «el sitio sigue funcionando» con «no hubo ataque»
Un atacante que instaló un backdoor no tiene ningún incentivo para que el sitio deje de funcionar. Al contrario: que todo parezca normal es parte del plan. El sitio puede estar completamente comprometido y mostrar exactamente el mismo contenido de siempre. La única forma de saberlo es auditar activamente, no esperar síntomas visibles.
No actualizar porque la licencia de Avada venció
Muchos usuarios creen que sin licencia activa no pueden actualizar Avada Builder, y dejan el plugin en versiones viejas indefinidamente. La licencia vence, sí, pero podés descargar el zip actualizado desde tu cuenta en ThemeFusion e instalarlo manualmente. Un plugin «premium» sin actualizar es exactamente igual de vulnerable que uno gratuito sin parchear (spoiler: más, porque la gente asume que pagó y está cubierta).
Preguntas Frecuentes
¿Qué es la vulnerabilidad CVE-2026-8713 en Avada Builder?
Es un fallo crítico (CVSS 9.1) en el plugin Avada Builder hasta la versión 3.15.3 que permite a un atacante no autenticado borrar cualquier archivo del servidor mediante path traversal en el módulo de formularios. El vector más peligroso es eliminar wp-config.php, lo que pone al sitio en modo de instalación inicial y permite tomar control total. ThemeFusion publicó el parche el 2 de junio de 2026 con la versión 3.15.4. Cubrimos ese tema en detalle en ataques similares de inyección de código.
¿Cómo sé si mi sitio WordPress está afectado por CVE-2026-8713?
Si tenés Avada Builder en cualquier versión hasta la 3.15.3 instalada, el sitio está afectado. Verificá la versión en Escritorio → Actualizaciones o en la lista de plugins instalados. Si ves 3.15.3 o inferior, actualizá a 3.15.4 sin demoras. También conviene confirmar que wp-config.php sigue presente y revisar los logs de acceso del servidor en busca de requests sospechosos al endpoint de formularios.
¿Puede CVE-2026-8713 eliminar el archivo wp-config.php de mi sitio?
Sí, ese es el escenario de ataque más grave que habilita este CVE. La vulnerabilidad permite borrar cualquier archivo del servidor, y wp-config.php es el objetivo más crítico porque su ausencia fuerza a WordPress al wizard de instalación inicial, dándole al atacante la oportunidad de configurar el sitio con sus propias credenciales y crear un usuario administrador nuevo.
¿Cómo actualizar Avada Builder a la versión 3.15.4?
Hacé un backup completo primero. Después, en Escritorio → Actualizaciones de WordPress, seleccioná Avada Builder y actualizá a la versión 3.15.4 o superior. Si la licencia de Avada expiró y el update automático no funciona, descargá el zip desde tu cuenta en ThemeFusion e instalalo manualmente via Plugins → Subir plugin. Verificá que la versión 3.15.4 figura en la lista de plugins después de completar el proceso.
¿Qué hacer si mi sitio ya fue comprometido por esta vulnerabilidad?
Tomá el sitio offline de inmediato, hacé un backup del estado actual para análisis y restaurá desde el backup limpio más reciente anterior al ataque. Si no tenés backup, reconstruí wp-config.php manualmente con las credenciales de base de datos de tu panel de hosting, regenerá las salts de seguridad y cambiá todas las contraseñas. Auditá los usuarios administradores, eliminá los que no reconocés y escaneá el sitio completo con Wordfence antes de volver a ponerlo online.
Conclusión
CVE-2026-8713 es uno de esos fallos que no dan margen de maniobra. CVSS 9.1, sin autenticación requerida, más de un millón de sitios expuestos, con un vector de ataque que puede derivar en toma de control total en minutos. El tipo de vulnerabilidad que los atacantes automatizan rápido porque el payload es sencillo y el impacto es máximo.
ThemeFusion publicó el parche el 2 de junio de 2026. La corrección existe. Lo que resta pendiente es que cada instalación de Avada Builder en versiones viejas migre a 3.15.4. Si tu sitio todavía corre una versión anterior, eso es lo único que importa hacer ahora: actualizar, verificar la versión instalada y confirmar que wp-config.php sigue en su lugar.
El tema más amplio que deja este CVE es el riesgo inherente a los plugins de escala masiva. Una vulnerabilidad crítica en un plugin con un millón de instalaciones es más atractiva para un atacante que diez CVEs en plugins con 10.000 instalaciones cada uno. La frecuencia de actualización no es un detalle de mantenimiento: es parte del modelo de seguridad.
Fuentes
- Wordfence — Análisis técnico de CVE-2026-8713 en Avada Builder
- INCIBE-CERT — Detección y corrección de vulnerabilidad crítica en Avada Builder
- CyberSecurity News — Avada WordPress Plugin Vulnerability
- Security Online — Avada Builder Vulnerability
- El Hacker.net — Vulnerabilidad en plugin de WordPress Avada Builder