Avada Builder Lücke: SQL-Injection trifft 1 Mio. Sites

Wenn deine Website auf Avada läuft, hast du ein Problem. Wordfence-Forscher haben in Avada Builder zwei Lücken aufgedeckt: eine SQL-Injection und einen Arbitrary File Read. Die SQLi lässt sich ohne Login ausnutzen — und Avada Builder läuft auf 1.050.000 aktiven Websites weltweit.

SCHOCK: Was der Bug technisch macht

Die SQL-Injection sitzt in der Verarbeitung bestimmter Parameter im Avada-Builder-Backend. Ein Angreifer kann ohne Authentifizierung Anfragen schicken, die direkt in der WordPress-Datenbank ausgeführt werden. Das Resultat: gehashte Passwörter, User-Mails, geheime Schlüssel und beliebige andere Daten lassen sich auslesen.

Die zweite Lücke, der Arbitrary File Read, erlaubt das Auslesen sensibler Dateien wie wp-config.php. Damit hat ein Angreifer dann auch die Datenbank-Credentials und kann sich direkt einloggen.

UNGLAUBLICH: 1 Million Sites betroffen

Avada ist seit Jahren das meistverkaufte Premium-Theme auf ThemeForest. Mit über 1 Million aktiven Installationen ist die Reichweite enorm. Betroffen ist die Avada-Builder-Komponente, die mit dem Theme ausgeliefert wird.

Wordfence wurde von Sicherheitsforscher Rafie Muhammad informiert. Die Disclosure lief am 24. und 25. März 2026 an ThemeFusion, der Hersteller hinter Avada. Patches kamen innerhalb von zwei Monaten: einer am 13. April, der zweite am 12. Mai.

HAMMER: So updatest du SOFORT

Drei Wege zum sicheren Stand:

WordPress-Admin → Plugins. Avada Builder suchen, Update auf 3.15.3 oder höher anstoßen.
WP-CLI. Auf der Konsole: wp plugin update avada-builder
Manuell. Neueste ZIP von ThemeFusion holen, alte Plugin-Version per FTP/SSH überschreiben.

Nach dem Update unbedingt die Yoast-Sitemap und WP-Cron einmal anstoßen, sonst hängen abhängige Caches.

GEFAHR! Wie merkst du, dass dich’s getroffen hat?

Indizien für eine erfolgreiche SQLi-Ausnutzung:

Plötzliche neue Admin-User in wp_users
Ungewöhnliche POST-Anfragen in den NGINX-/Apache-Access-Logs
Verdächtige Zeilen in wp_options mit neuen Optionen
Outbound-Traffic von deinem Webserver an unbekannte IPs

Findest du Hinweise: Alle Passwörter rotieren, Datenbank auf Backup zurückrollen, Forensik einleiten. Bei Verdacht das Hosting-Team einschalten.

EXTRA-TIPP: WAF-Regeln aktivieren

Wordfence Premium und Pro liefern eine virtuelle Patch-Regel für CVE-2026-* (genaue Nummer noch in Veröffentlichung). Auch Cloudflare-Managed-WAF und Sucuri haben Pattern für die Avada-spezifischen Anfragen integriert.

FAZIT: Update PFLICHT — heute, nicht Montag

SQLi ohne Auth + 1 Million Sites = ein Massenscan-Magnet. Wenn du Avada nutzt, gehört der Update-Klick auf die heutige To-do-Liste. Wer in einer Agentur sitzt: Kunden-Sites prüfen und proaktiv informieren.

Häufige Fragen

Welche Avada-Versionen sind betroffen?

Alle Versionen von Avada Builder vor 3.15.3. Wenn du eine ältere Version installiert hast, bist du anfällig — unabhängig davon, ob die Lücke aktiv ausgenutzt wurde oder nicht. Die fixe Version ist 3.15.3 oder neuer.

Wie merke ich, dass mein System verwundbar ist?

WordPress-Admin → Plugins → Avada Builder. Wenn dort eine Versionsnummer kleiner als 3.15.3 steht, bist du betroffen. Wordfence-Premium-User bekommen die Schwachstelle als Warnung im Dashboard angezeigt.

Wie behebe ich das Problem konkret?

Update auf Avada Builder 3.15.3 oder höher. Gehe in den WordPress-Admin → Plugins → Avada Builder und klicke „Aktualisieren“. Mit WP-CLI geht es noch schneller: wp plugin update avada-builder. Nach dem Update Caches leeren.

Gab es schon aktive Angriffe?

Wordfence sieht seit dem 13. Mai 2026 erhöhte Scan-Aktivität gegen die bekannten Avada-Endpoints. Bestätigte Kompromittierungen sind bisher in Einzelfällen dokumentiert, aber bei der Masse betroffener Sites ist mit weiteren Vorfällen zu rechnen.

Quellen: TechRadar, Wordfence Vulnerabilities, ThemeFusion Avada

WORDPRESS-ALARM! Avada Builder reisst JETZT 1 MILLION Sites auf — SQL-Injection ohne Login möglich