100万以上のウェブサイトを支えている広く使われているWordPressプラグインが、機密データとサーバーファイルを露出させる可能性のある2つの深刻なセキュリティ欠陥に脆弱であることが判明しました。
セキュリティ研究者は、Avada Builderプラグインの問題により、認証済みおよび認証なしの両方の攻撃者が影響を受けたサイトを侵害できる可能性があると警告しています。
Wordfence Bug Bounty Programを通じて研究者Rafie Muhammadによって発見されたこれらの脆弱性には、任意ファイル読み取りの欠陥(CVE-2026-4782)とSQLインジェクション脆弱性(CVE-2026-4798)が含まれます。
これらの弱点は合わせて、人気のあるビルダープラグインを使用するWordPressサイトの攻撃対象領域を大幅に増加させます。
露出したWordPressウェブサイト
最初の脆弱性はAvada Builderバージョン3.15.2以前に影響し、CVSSスコアは6.5です。これにより、低レベルのサブスクライバーアクセス権を持つ認証済みユーザーでさえも、サーバーから任意のファイルを読み取ることができます。
この問題は、プラグインのfusion_get_svg_from_file()関数での不適切な検証に起因しています。この関数は視覚要素をレンダリングするためにSVGファイルを取得するように設計されていますが、ファイルタイプまたはソースを制限できていません。
その結果、攻撃者がcustom_svgパラメータを操作して、データベース認証情報とセキュリティキーを含むwp-config.phpなどの機密ファイルを取得できます。
リスクを複雑にしているのは、脆弱なAJAXハンドラーが適切な機能チェックを欠いていることです。nonceで保護されていますが、最小限のアクセス権を持つ攻撃者はこれを取得し、悪意のあるショートコードを実行してファイル抽出を有効にすることができます。
2番目の欠陥は、バージョン3.15.1以前に影響し、評価は7.5(高)で、認証なしの攻撃者が時間ベースのSQLインジェクション攻撃を実行することを可能にします。
この脆弱性は、データベースクエリ内のproduct_orderパラメータの処理に存在します。入力はサニタイズされていますが、セキュアなデータベースメソッドを使用した適切なパラメータ化がされていません。この見落としにより、攻撃者は悪意のあるSQLコマンドをクエリに注入できます。
UNIONベースのインジェクションなどの従来のデータ抽出方法は実行不可能ですが、攻撃者は時間ベースのブラインドSQLインジェクションを通じて欠陥を悪用することができます。SLEEP()などのSQL関数を活用することで、パスワードハッシュを含む機密データを段階的に抽出できます。
特に、この脆弱性は以前にWooCommerceを使用していたが、後で非アクティブ化したサイトにのみ影響するため、条件付きですがそれでも危険なリスクです。
Wordfenceはすぐに対応し、ファイアウォール保護をリリースしました。プレミアムユーザーは2026年3月25日にファイル読み取り問題の軽減策を受け取り、無料ユーザーは2026年4月24日までに保護されました。SQLインジェクション試行は、デフォルトで組み込みのファイアウォールルールによってブロックされます。
Avadaチームは2026年4月13日にバージョン3.15.2で部分的な修正をリリースし、その後2026年5月12日にバージョン3.15.3で完全なパッチをリリースしました。
ウェブサイト管理者は、Avada Builderバージョン3.15.3に直ちに更新することを強く求められています。アップデートを遅延させると、サイトがデータ盗難または完全な侵害にさらされる可能性があります。
例えば、ファイル読み取りの欠陥を悪用する攻撃者は、設定ファイルを取得してから、盗まれたデータベース認証情報を使用してウェブサイト全体を乗っ取ることができます。
100万以上のインストール数が影響を受けているため、このインシデントはWordPressエコシステムでのプラグイン脆弱性がもたらす継続的なリスクを強調し、タイムリーなパッチと多層的なセキュリティ防御の重要性を示しています。
翻訳元: https://gbhackers.com/wordpress-websites-exposed-by-avada-builder-security-vulnerabilities/
