Avada Builder WordPressプラグインで新たに発見された2つの脆弱性は、約100万のサイトを任意ファイル読み取りおよびSQLインジェクション攻撃のリスクにさらしています。
5月12日に公開されたWordfenceの分析によれば、この欠陥は独立した研究者Rafie Muhammadにより3月21日にWordfence Bug Bounty Programを通じて報告されました。
SVGショートコードとポストカードの欠陥
最初の問題はCVE-2026-4782として追跡されており、一般的な脆弱性スコアリングシステム(CVSS)で6.5と評価される任意ファイル読み取りの欠陥です。
これはプラグインのfusion_get_svg_from_file関数に存在し、custom_svgパラメータが提供されたときにfusion_section_separatorショートコード経由で呼び出されます。
この関数はファイルタイプやソースの検証を行わないため、購読者レベルのアクセス権を持つ認証済みユーザーはサーバ上の機密ファイルを読み取るためにこれを使用できます。これらにはWordPressのデータベース認証情報、暗号化キー、塩を保持するwp-config.phpが含まれます。
WordPressプラグインの脆弱性についてさらに読む:Slider Revolutionプラグインの欠陥が400万のWordPresサイトを公開
2番目の欠陥であるCVE-2026-4798は、product_orderパラメータにおける、より重大な未認証タイムベースSQLインジェクションで、7.5(高)と評価されています。
プラグインは入力に対してsanitize_text_field()を呼び出しますが、その関数はSQLインジェクションに対する防御を提供しません。周囲のORDER BY句は、WordPressのprepare()エスケープを使用せずにクエリに連結されます。
この欠陥は、WooCommerceが以前にインストールされた後に無効化されたサイトでのみ悪用可能です。
開示とパッチのタイムライン
Wordfenceは3月24日と25日にAvadaチームと完全な開示を共有し、ベンダーは同じ日に修正の作業を開始しました。
開発者は4月13日にバージョン3.15.2で初期パッチをリリースし、5月12日に3.15.3で完全な修正をリリースしました。
-
開示時期周辺に作成された購読者アカウントの監査
-
セキュリティ侵害が疑われる場合は、wp-config.phpに保存された認証情報のローテーション
-
影響を受けたショートコードを参照する異常なadmin-ajax.phpトラフィックの確認
この開示は、Wordfenceが記録しているAvada Builderの脆弱性の最新の項目です。
翻訳元: https://www.infosecurity-magazine.com/news/avada-builder-flaws-one-million/
