推定 100 万件のアクティブなインストールがある WordPress 用 Avada Builder プラグインの 2 つの脆弱性により、ハッカーが任意のファイルを読み取り、データベースから機密情報を抽出することができます。
欠陥の 1 つは CVE-2026-4782 として追跡されており、サーバー上の任意のファイルの内容を読み取るために少なくともサブスクライバ レベルのアクセス権を持つ認証されたユーザーによって、3.15.2 までのすべてのプラグイン バージョンが悪用される可能性があります。
もう 1 つのセキュリティ問題には ID CVE-2026-4798 が指定されており、認証なしで利用できる SQL インジェクションです。ただし、悪用が可能になるのは、WooCommerce WordPress 電子商取引プラグインが有効化されてから無効化された場合のみです。
Avada Builder は、Avada WordPress テーマ用のドラッグ アンド ドロップ Web ページ ビルダー プラグインで、コードを記述せずにサイト レイアウト、コンテンツ スニペット、デザイン要素を作成およびカスタマイズできます。
どちらの問題もセキュリティ研究者の Rafi Mohammed によって発見され、Wordfence Bug Bounty プログラムを通じて報告され、発見に対してそれぞれ 3,386 ドルと 1,067 ドルを受け取りました。
Wordfenceでは、プラグインのショートコード処理機能とcustom_svgパラメータを利用することで任意のファイルの読み込みが可能であると説明しています。問題は、プラグインがファイルの種類やソースを適切に検証せず、通常はデータベースの資格情報や暗号キーが含まれる wp-config.php などの機密ファイルへのアクセスを許可してしまうことです。
wp-config.php にアクセスすると、管理者アカウントが侵害され、サイトが完全に乗っ取られる可能性があります。
サブスクリプションレベルのアクセスが必要なため、この欠陥は中程度と評価されましたが、多くの WordPress サイトではユーザー登録が提供されているため、この要件は障害にはなりません。
CVE-2026-4798 として追跡されている時間ベースのブラインド SQL インジェクションの欠陥は、3.15.1 までの Avada Builder バージョンに影響を与えます。この問題は、product_order パラメータからのユーザー制御の入力が、適切なクエリの準備なしで SQL ORDER BY 句に入力されたために発生します。
この欠陥は、認証されていない攻撃者によって悪用され、サイトのデータベースからパスワード ハッシュを含む機密情報が抽出される可能性があります。このエクスプロイトの前提条件は、WooCommerce を使用して無効にすることであり、そのデータベース テーブルが損なわれていない必要があります。
両方の欠陥は 3 月 21 日に Wordfence に提出され、3 月 24 日に Avada Builder の発行元に報告されました。部分パッチのバージョン 3.15.2 は 4 月 13 日にリリースされ、完全にパッチが適用されたバージョン 3.15.3 は 5 月 12 日にリリースされました。
影響を受けるサイト所有者/管理者は、できるだけ早く Avada Builder バージョン 3.15.3 に更新することをお勧めします。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
