- Wordfenceは、約100万のアクティブインストール数を持つWordPressプラグイン「Avada Builder」の2つの脆弱性を開示しました
- CVE‑2026‑4782(任意ファイル読み取り、中程度の重要度)はサブスクライバーレベルのアクセスが必要です。CVE‑2026‑4798(SQLインジェクション、高い重要度)は認証なしで悪用可能です
- パッチは2026年4月と5月にリリースされました。ユーザーはv3.15.3以上へのアップデートが推奨されます。研究者Rafie Muhammadは約4,500ドルのバウンティを獲得しました
約100万のアクティブインストール数を持つ人気のWordPressプラグインには、悪意あるアクターがパスワードハッシュやその他の貴重な情報などの機密データを漏出させる可能性がある2つの脆弱性が含まれていました。
Wordfenceのセキュリティ研究者は、述べられていますが、研究者Rafie Muhammadから、Avada Builderに任意ファイル読み取りとSQLインジェクションの脆弱性が存在することをお知らせいただいたと述べています。
Avada BuilderはThemeFusionの「Avada」エコシステムの一部であるWordPress用のドラッグアンドドロップページビルダーで、現在1,050,000以上のアクティブインストール数があります。これにより、ユーザーはコードを学んだり記述したりする必要なくWebサイトを構築できます。テキストブロック、画像、スライダー、ボタン、フォーム、価格表、レイアウトなどの異なる要素をページにドラッグアンドドロップして、リアルタイムでカスタマイズすることで機能します。
パッチが利用可能
最初のバグを悪用するための唯一の前提条件は、少なくともサブスクライバーレベルのアクセス権を持つことですが、ほとんどのサイトではそれほど難しくありません。現在CVE-2026-4782として追跡されているこのバグには、6.5/10(中程度)の重要度スコアが割り当てられました。
一方、SQLインジェクション脆弱性は、認証されていない攻撃者によってでも悪用される可能性があり、ハッシュ化されたパスワードを含むデータベースから機密データを抽出できます。これはCVE-2026-4798として追跡されており、わずかに高い重要度スコア(7.5/10(高))が割り当てられています。
Wordfenceは、脆弱性が2026年3月24日と25日にAvadaチームに報告され、開発者が2か月以内にパッチで対応したと述べています。1つは4月13日、もう1つは5月12日です。
Webサイトで「Avada Builder」を実行しているユーザーは、できるだけ早くプラグインをバージョン3.15.3以上に更新することをお勧めします。
Wordfenceは、Muhammadが問題の報告に対して約4,500ドルのバウンティを受け取ったことを確認しました。
「Wordfence Bug Bounty Programを通じてこれらの脆弱性を発見し、責任を持って報告した Rafie Muhammad に感謝します」と、その報告書に記述されています。
「当社の使命は、多層防御によるWordPressのセキュリティ確保であり、そのため品質の高い脆弱性調査に投資し、Bug Bounty Programを通じてこのレベルの研究者と協力しています。脆弱性の検出と防止を通じてWordPressエコシステムのセキュリティを向上させることに取り組んでおり、これはセキュリティへの多層的なアプローチの重要な要素です。」
