約100万件のアクティブインストールを誇る有料WordPressプラグイン「Avada Builder」に、認証不要で任意のファイルを削除できる深刻な脆弱性が発見されました。
CVSSスコア9.1(Critical)のCVE-2026-8713として追跡されているこの脆弱性は、未認証の攻撃者がサーバー上の任意のファイルを削除することを可能にし、リモートコード実行(RCE)によってサイトを完全に乗っ取られる危険性があります。
この脆弱性はAvada(Fusion)Builderのバージョン3.15.3以前に影響し、プラグインのフォームビルダーにおけるプライバシークリーンアップ処理内のmaybe_delete_files()関数に存在します。
サイト管理者がAvadaフォームをデータベースへのエントリ保存設定にしている場合、クリーンアップ機能は有効期限切れのエントリに関連するアップロードファイルを自動的に削除します。
この欠陥の原因は、ファイルパスの検証が不十分なことにあります。具体的には、realpathによる解決やアップロードディレクトリの範囲チェックが一切行われていません。
そのため、送信されたフォームデータに埋め込まれたパストラバーサルのシーケンスが、クリーンアップ処理の実行時にそのまま処理されてしまいます。
未認証の攻撃者は、http://victim.com/wp-content/uploads/fusion-forms/../../wp-config.phpのような細工されたペイロードをフォームのテキストフィールドに送信するだけでこの脆弱性を悪用できます。
さらに、wp_ajax_nopriv_fusion_form_submit_ajaxハンドラーを通じてfusion_privacy_expiration_intervalフィールドとprivacy_expiration_actionフィールドを同時に操作することで、攻撃者は即座に削除サイクルを強制的に実行させることが可能です。
仕込まれたエントリはその後、Fusion_Form_DB_Privacyのシャットダウンフックによって自動的に処理されるため、管理者による操作は一切不要です。
最も深刻な被害はwp-config.phpの削除です。このファイルが削除されると、WordPressは初期インストール状態に戻ります。攻撃者はセットアップウィザードを自身が制御するデータベースへリダイレクトすることができます。
そこから脅威アクターは、任意のPHPコードを含む悪意あるプラグインやテーマをインストールし、完全なリモートコード実行によってサイトを完全に掌握できます。
悪用には一つの前提条件があります。データベースへのエントリ保存設定がされた公開済みのAvadaフォームが、対象サイト上でアクティブであることが必要です。
セキュリティ研究者のDaroo氏がWordfenceバグバウンティプログラムを通じてこの脆弱性を発見し、責任ある開示を実施しました。この報告に対し、3,600ドルのバウンティ報酬が支払われています。
Avadaチームは迅速に対応し、問題を完全に修正したバージョン3.15.4をリリースしました。Avada Builderを使用しているすべてのWordPressサイト管理者は、直ちにアップデートを実施するよう強く推奨されます。
Wordfence Premium、Wordfence Care、Wordfence Responseのユーザー、あるいは無料版のWordfenceを利用しているユーザーは、Wordfenceファイアウォールに組み込まれたパストラバーサル保護機能によってすでに守られています。この保護機能は、悪意あるペイロードが脆弱な関数に到達する前に検出・ブロックします。
すぐにアップデートできないサイト管理者は、パッチを適用するまでの間、データベースへのエントリ保存設定がされた公開済みのAvadaフォームを一時的に無効化することを検討してください。
翻訳元: https://cyberpress.org/critical-flaw-in-wordpress-plugin/
