広く利用されているAvada(Fusion)BuilderのWordPressプラグインに、深刻なセキュリティ脆弱性が発見されました。この欠陥を悪用されると、認証されていない攻撃者が任意のファイルを削除し、100万件以上のインストール環境でウェブサイト全体を侵害できる可能性があります。
CVE-2026-8713として識別され、CVSSスコア9.1が付与されたこの脆弱性は、バージョン3.15.3以前のすべてのプラグインバージョンに影響します。バージョン3.15.4で修正済みです。この問題はセキュリティ研究者「daroo」によって発見され、Wordfence Bug Bounty Programを通じて報告した結果、3,600ドルの報奨金を獲得しています。
WordPressプラグインの重大バグ
この脆弱性は、Fusion_Form_DB_Entriesクラスに属するプラグインのmaybe_delete_files()関数において、ファイルパスの検証が不十分なことに起因しています。Avada Builderにはフォーム機能が搭載されており、ユーザーの送信データをデータベースに保存し、プライバシークリーンアップメカニズムで後処理します。
このクリーンアップルーティンは、設定された有効期限が過ぎたエントリを削除または匿名化するよう設計されています。しかし、不適切なサニタイジングとパス正規化の欠如により、ファイルパスが意図されたアップロードディレクトリ内に収まっているかどうかを正しく検証できません。
攻撃者はパストラバーサルシーケンスを含む細工されたフォーム入力を送信することで、この脆弱性を悪用できます。プラグインがrealpath()などの関数を使ってディレクトリの境界を強制していないため、アップロードディレクトリ外の機密ファイルへの参照といった悪意のあるパスがそのまま保持されてしまいます。
クリーンアッププロセスが実行されると、攻撃者が制御するURLをファイルシステムパスに変換します。その後、WordPressのwp_delete_file()関数に渡すことで、サーバー上の任意のファイルが削除されます。
悪用には、データベースへのエントリ保存が設定された公開Avadaフォームが必要です。認証されていない攻撃者は、wp_ajax_nopriv_fusion_form_submit_ajaxエンドポイントにリクエストを送信し、fusion_privacy_expiration_intervalやprivacy_expiration_actionなどのパラメーターを操作しながらフォームデータに悪意のあるペイロードを注入することで、即座の削除をトリガーできます。クリーンアップルーティンはシャットダウンフックを経由して自動的にエントリを処理するため、管理者の操作は一切不要です。
特に危険な状況は、攻撃者がwp-config.phpなどの重要なファイルを削除した場合に発生します。このファイルを削除するとWordPressがインストール状態に強制的にリセットされ、攻撃者が悪意のあるデータベースでサイトを再設定し、最終的にプラグインやテーマを通じて任意のPHPコードを展開できるようになります。これにより、完全なリモートコード実行とサイト全体の乗っ取りにつながる可能性があります。
Wordfenceは、同社のファイアウォールが送信フォームデータ内のパストラバーサルの試みを検出・ブロックすることで悪用を防ぐと確認しています。この脆弱性は2026年5月15日にAvada開発チームへ責任を持って開示され、迅速な修正対応を経て2026年6月2日にパッチがリリースされました。
深刻度と悪用の容易さを踏まえると、Avada Builderを使用している管理者はただちにバージョン3.15.4へアップデートすることを強くお勧めします。また、各組織は公開フォームの監査、Webアプリケーションファイアウォール保護の導入、不審なフォーム送信や予期しないファイル削除に関するログ監視を実施し、潜在的な侵害リスクを軽減する必要があります。
翻訳元: https://gbhackers.com/critical-wordpress-plugin-bug/
