Avada Builder Flaws Expose One Million WordPress Sites
2026/05/13 InfoSecurity — Avada Builder WordPress プラグインにおいて新たに 2件の脆弱性 CVE-2026-4782/4798 が公表され、約 100 万のサイトが任意のファイル読み取り/SQL インジェクション攻撃のリスクにさらされている。2026年5月12日に公開された Wordfence の分析によると、これらの脆弱性は 2026年3月21日に独立研究者 Rafie Muhammad により、Wordfence Bug Bounty Program を通じて報告された。
SVG Shortcode および Post Cards の脆弱性
1 つ目の脆弱性 CVE-2026-4782 (CVSS:6.5 Medium) は、プラグインの fusion_get_svg_from_file 関数に存在し、任意ファイル読み取りの欠陥を引き起こす。この関数は、custom_svg パラメータが指定された場合に、fusion_section_separator ショートコード経由で呼び出される仕組みとなっている。
この関数はファイルタイプ/ソースの検証を実施しないため、サブスクライバー権限を持つ認証済みユーザーであれば、サーバ上の機密ファイルの読み取りが可能となる。その対象には、WordPress のデータベース認証情報/暗号鍵/ソルトを保存する “wp-config.php” も含まれる。
2 つ目の脆弱性 CVE-2026-4798 (CVSS:7.5 High) は、product_order パラメータに存在する、深刻な認証不要のタイム・ベースド SQL インジェクションである。プラグイン側で入力に適用される sanitize_text_field() では、この SQL インジェクションを防御できない。周囲の ORDER BY 条項は、WordPress の prepare() によるエスケープ処理なしでクエリへ連結される。
過去に WooCommerce がインストールされ、その後に無効化されたサイトでのみ、この脆弱性は悪用が可能である。
開示およびパッチ・タイムライン
Wordfence は 2026年3月24日/25日に Avada チームへ完全開示を実施し、開発元による修正対応が同日に開始された。2026年4月13日に、バージョン 3.15.2 で初期パッチが提供された後に、2026年5月12日にバージョン 3.15.3 にて完全修正がリリースされた。
これに伴い、Wordfence はサイト管理者に対し、直ちにアップデートを適用するよう強く推奨するとともに、今回の脆弱性への対策として、以下の防御対応を検討すべきであるとしている。
- 開示期間前後に作成されたサブスクライバー・アカウントの監査
- 侵害が疑われる場合における “wp-config.php” 内認証情報のローテーション
- 影響を受けるショートコードを参照する、admin-ajax.php トラフィックの異常監視
今回の開示は、Avada Builder における継続的な脆弱性報告における、最新の事例である。
訳者後書:脆弱性 CVE-2026-4782 の原因は、外部から指定されたファイルの種類や参照元を検証する処理が不足し、機密情報が読み取れる状態になっていたことにあります。また、脆弱性 CVE-2026-4798 は、入力値のサニタイズが不十分であったことに加え、データベースへの命令文を組み立てる際に、エスケープ処理を行わずに連結していたことが原因です。これらは基本的な処理の不足から生じるものですが、結果として多くのサイトに影響を与える問題に繋がりました。開発においては、外部からの入力値をそのまま信頼せず、標準的な関数を組み合わせて安全に処理を完結させることが重要となります。利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.