推定100万のアクティブインストールを持つWordPressのAvada Builderプラグインの2つの脆弱性により、ハッカーは任意のファイルを読み取り、データベースから機密情報を抽出することができます。
これらの欠陥の1つはCVE-2026-4782として追跡されており、バージョン3.15.2までのプラグインのすべてのバージョンで、少なくともサブスクライバーレベルのアクセス権を持つ認証済みユーザーがサーバー上の任意のファイルの内容を読み取るために悪用することができます。
もう1つのセキュリティ問題はCVE-2026-4798という識別子を受け取り、認証なしで悪用できるSQLインジェクションです。ただし、WordPressのWooCommerceイーコマースプラグインが有効にされてから無効にされた場合のみ、悪用が可能です。
Avada Builderは、Avada WordPressテーマ用のドラッグアンドドロップウェブページビルダープラグインで、コードを書かずにウェブサイトレイアウト、コンテンツセクション、デザイン要素を作成およびカスタマイズできます。
2つの問題はセキュリティ研究者のRafie Muhammadによって発見され、Wordfence Bug Bounty Programを通じて報告され、それぞれの発見に対して$3,386と$1,067を受け取りました。
Wordfenceは、任意のファイル読み取りがプラグインのショートコードレンダリング機能とcustom_svgパラメータを通じて可能であることを説明しています。問題は、プラグインがファイルタイプまたはソースを適切に検証しないため、通常はデータベース認証情報と暗号化キーを含むwp-config.phpなどの機密ファイルへのアクセスを許可することです。
wp-config.phpへのアクセスは、管理者アカウントの侵害と完全なサイト乗っ取りにつながる可能性があります。
欠陥はサブスクライバーレベルのアクセスが必要であるため中程度の深刻度の評価を受けましたが、多くのWordPressサイトがユーザー登録を提供しているため、この要件は障壁を表しません。
CVE-2026-4798として追跡される時間ベースのブラインドSQLインジェクション欠陥は、Avada Builderバージョン3.15.1までに影響を与えます。問題は、product_orderパラメータからのユーザーが制御する入力が、適切なクエリ準備なしにSQL ORDER BY句に挿入されたことです。
欠陥は、認証されていない攻撃者によって悪用され、パスワードハッシュを含むサイトデータベースから機密情報を抽出することができます。これを悪用するための前提条件は、WooCommerceを使用してから無効にしていることで、そのデータベーステーブルは完全である必要があります。
2つの欠陥は3月21日にWordfenceに提出され、3月24日にAvada Builderの出版社に報告されました。部分的な修正であるバージョン3.15.2は4月13日にリリースされ、完全にパッチされたバージョン3.15.3は5月12日にリリースされました。
影響を受けたウェブサイトの所有者/管理者は、できるだけ早くAvada Builderバージョン3.15.3に更新することをお勧めします。
検証ギャップ:自動化されたペネトレーションテストが1つの質問に答える。あなたは6つが必要です。
自動化されたペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者はネットワークを通過できますか?これらは、コントロールが脅威をブロックするか、検出ルールが機能するか、クラウド構成が保持されるかをテストするために構築されていませんでした。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
