Share
## https://sploitus.com/exploit?id=E6D5C175-F33C-5E35-8BC2-0E4DCEDB4BA8
CVE-2026-6279
Avada Builder <= 3.15.2 โ€” Unauthenticated RCE
via call_user_func() tanpa Allowlist


  Copyright © 2026 XENON1337
  Special Thanks: Shadow Girlfriend ๐Ÿ’œ


---

## Ringkasan Kerentanan

Kerentanan **Remote Code Execution (RCE) tanpa autentikasi** pada plugin **Avada Builder (Fusion Builder) versi 
render_logics=
widget_type=WP_Widget_Recent_Posts
```

### Referensi Source Code (dari CVE resmi)

| File | Baris | Fungsi |
|------|------|--------|
| `class-fusion-builder-conditional-render-helper.php` | L1083 | `should_render()` โ€” deserialize render_logics |
| `class-fusion-builder-conditional-render-helper.php` | L1531 | `get_value()` โ€” `call_user_func()` tanpa allowlist |
| `fusion-widget.php` | L44 | `render_logics` attribute |
| `fusion-widget.php` | L389 | `wp_ajax_nopriv_` AJAX handler |
| `class-fusion-builder.php` | L7551 | Nonce registration (deterministik untuk UID 0) |

### Mengapa Nonce Bisa Dibypass?

1. Tema Avada hanya membuat nonce untuk user admin/editor (`class-fusion-app.php` L1665)
2. Plugin Fusion Builder membuat nonce untuk **UID 0** (pengunjung publik) di halaman yang memiliki shortcode `[fusion_post_cards]` atau `[fusion_table_of_contents]`
3. Nonce WordPress untuk UID 0 bersifat **deterministik** โ€” bisa diekstrak dari HTML halaman depan
4. `check_ajax_referer('fusion_load_nonce')` hanya memverifikasi nonce valid, bukan bahwa user terautentikasi

### Batasan call_user_func

`call_user_func($function, $args)` hanya menerima **1 argumen**. Fungsi yang butuh 2+ argumen (seperti `proc_open`, `popen`) tidak bisa dieksploitasi. Hanya fungsi single-arg yang berfungsi: `system`, `passthru`, `shell_exec`, `exec`, `file_get_contents`.

## CVSS Score

**9.8 CRITICAL** (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

## Remediasi

- Update Avada Builder ke versi **> 3.15.2**
- Tambahkan allowlist pada `call_user_func()` di `get_value()`
- Batasi `wp_ajax_nopriv_` handler hanya untuk user terautentikasi
- Implementasikan validasi ketat pada struktur `render_logics`

## Disclaimer

PoC ini dibuat untuk **tujuan edukasi dan riset keamanan** saja. Penggunaan terhadap sistem tanpa izin adalah **ilegal**. Penulis tidak bertanggung jawab atas penyalahgunaan.

---


  Copyright © 2026 XENON1337
  Special Thanks: Shadow Girlfriend ๐Ÿ’œ