Avada Builder WordPressプラグインで発見された2つの深刻なセキュリティ脆弱性により、約100万のアクティブなウェブサイトが認証情報の盗難、データベースの侵害、および完全なサイト乗っ取りのリスクにさらされています。
Wordfenceは2026年5月13日に調査結果を公開しました。研究者Rafie Muhammadが両方の欠陥をWordfence Bug Bounty Programを通じて責任を持って報告し、約4,453ドルの報奨金を獲得しました。
これらの脆弱性はAvada Builderに影響します。Avada BuilderはThemeFusionの人気のあるAvadaテーマにバンドルされたページビルダーであり、2026年5月12日にリリースされたバージョン3.15.3でのみ完全にパッチが適用されました。
2つの欠陥のより深刻な方であるCVE-2026-4798は、CVSSスコア 7.5(高) を有し、3.15.1を含むAvada Builderのすべてのバージョンに影響します。
コードはユーザー入力に対して sanitize_text_field() を適用していますが、その関数はSQLインジェクションに対する防御を提供しません。
重大な条件が適用されます。エクスプロイトは、WooCommerceが以前インストールされ、その後無効化されたサイト上でのみ機能し、基礎となるデータベーステーブルはそのまま残ります。
WooCommerceを実行したことがないサイト、または引き続きアクティブなサイトは、この特定のベクトルによって影響を受けません。
2番目の脆弱性であるCVE-2026-4782は、 6.5(中) と評価され、バージョン3.15.2を含むAvada Builderに影響します。
脆弱なバージョンでは、この関数はファイルタイプまたはソースの検証を実行しません。つまり、攻撃者は .svg ファイルだけでなく、任意のサーバーパスを提供できます。
これにはサイトの wp-config.php が含まれます。これはデータベース認証情報、暗号化キー、およびセッションソルトを保存し、管理者アカウントの完全な侵害とサイト乗っ取りを可能にする可能性があります。
Wordfenceは2026年3月24〜25日にAvada開発チームに両方の脆弱性を開示しました。部分的なパッチ(バージョン3.15.2)は2026年4月13日にリリースされ、SQLインジェクション欠陥に対処しました。完全な修正(バージョン3.15.3)は2026年5月12日にリリースされました。
Wordfence Premium、Care、およびResponseのユーザーは、2026年3月25日にファイル読み取り脆弱性に対するファイアウォール保護を受け取りました。無料ユーザーは30日後に保護されました。
セキュリティアナリストはまた、テーマにバンドルされたプラグインとしてのAvada Builderのアーキテクチャが、サイト所有者がテーマから独立してビルダーを更新できないというリスクを増加させ、タイムリーなパッチ適用をより困難にすることに注目しています。
すべてのAvada Builderユーザーは直ちにバージョン3.15.3に更新する必要があります。以前のエクスプロイトを疑う管理者は、データベース認証情報とWordPressソルトをローテーションし、不正な管理者アカウントまたは変更されたコアファイルについて監査することをお勧めします。
翻訳元: https://cyberpress.org/sql-injection-file-read-1m-avada/