資安快訊：今日重要 CVE（2026-06-20）

今日兩個高風險漏洞都集中在 WordPress 外掛：如果你的網站或客戶專案有用到 BetterDocs Pro 或 Avada Builder，應立即檢查版本與設定。

CVE-2026-7515（嚴重度 CVSS 9.8）

影響

BetterDocs Pro plugin for WordPress 在 3.8.0（含）以前版本，doc_style 參數存在 Local File Inclusion 漏洞。未登入的攻擊者可能透過這個參數載入並執行伺服器上的任意 .php 檔案。

對開發者來說，這影響的是使用 WordPress 並安裝 BetterDocs Pro 的網站。若網站同時允許上傳可被包含的 .php 檔案，攻擊者可能藉此繞過存取控制、讀取敏感資料，或執行 PHP 程式碼。

該做什麼

如果你的 WordPress 專案有使用 BetterDocs Pro，請確認版本是否為 3.8.0 或更早版本，並依官方 changelog 升級到修補後版本。升級前後也應檢查站台是否存在不該出現的 .php 上傳檔案，並避免讓使用者上傳可被伺服器執行的 PHP 檔案。

CVE-2026-8713（嚴重度 CVSS 9.1）

影響

Avada（Fusion）Builder plugin for WordPress 在 3.15.3（含）以前所有版本中，maybe_delete_files 函式對檔案路徑驗證不足，導致未登入的攻擊者可能刪除伺服器上的任意檔案。

這影響使用 WordPress 並安裝 Avada Builder 的網站。漏洞利用條件包含：網站有已發布的 Avada form，且該表單設定為將 entries 儲存到資料庫。攻擊者可透過 wp_ajax_nopriv_fusion_form_submit_ajax 提交 path traversal payload，並控制相關隱私清理欄位，讓系統立即執行刪除。若刪到關鍵檔案，例如 wp-config.php，可能進一步導致遠端程式碼執行。

該做什麼

如果你的 WordPress 專案使用 Avada Builder，請檢查是否為 3.15.3 或更早版本，並升級到修補後版本。若目前無法立即升級，應先檢查是否有已發布、且設定為將 entries 存入資料庫的 Avada forms；在完成升級前，評估停用或調整這類表單設定，以降低被利用的風險。

資料來源：NVD

• https://nvd.nist.gov/vuln/detail/CVE-2026-7515
• https://nvd.nist.gov/vuln/detail/CVE-2026-8713