WordPress Avada の脆弱性 CVE-2026-4782/4798 が FIX:任意のファイル読み取りと SQLi の恐れ

1 Million WordPress Websites Exposed by Avada Builder Security Vulnerabilities

2026/05/18 gbhackers — WordPress Avada Builder プラグインに、2 つの深刻なセキュリティ欠陥が発見され、機密性の高いデータやサーバ・ファイルの露出の可能性が生じている。この 100万以上の Web サイトで利用されている、プラグインの脆弱性を悪用する攻撃者は、影響を受けるサイトの侵害が可能であると、セキュリティ研究者が警告している。

これらの脆弱性は、任意のファイル読み取り欠陥 CVE-2026-4782 と SQL インジェクションの欠陥 CVE-2026-4798 であり、Wordfence Bug Bounty Program を通じて研究者 Rafie Muhammad により発見された。これらの脆弱性が連鎖すると、WordPress サイトの攻撃対象範囲が大幅に拡大する。

WordPress Web サイト露出

1 つ目の脆弱性 CVE-2026-4782 (CVSS:6.5) は、Avada Builder バージョン 3.15.2 以下に影響する。認証済みのユーザーであれば、低権限のサブスクライバー・レベルであっても、サーバ上で任意のファイルの読み取りが可能になる。

CVE-2026-4782 (Source: Wordfence)
CVE-2026-4782 (Source: Wordfence)

この問題は、プラグインの fusion_get_svg_from_file ( ) 関数における不適切な検証に起因する。この関数は、SVG ファイルを取得して表示する目的で設計されているが、ファイルタイプや取得元を制限していない。

その結果、custom_svg パラメータを操作する攻撃者は、”wp-config.php” などの機密ファイルを取得できる。このファイルには、データベース認証情報やセキュリティ・キーが含まれる。

さらにリスクを高める要因として、脆弱な AJAX ハンドラにおける適切な権限チェックの欠落が挙げられる。ノンス (nonce) による保護はあるが、その取得は低権限ユーザーであっても可能であり、悪意の shortcode の実行によりファイル抽出を実現できる。

2 つ目の脆弱性 CVE-2026-4798 (CVSS:7.5:High) は、バージョン 3.15.1 以下に影響を及ぼし、未認証の攻撃者による時間ベースの SQL インジェクション攻撃を可能にする。

この脆弱性は、データベース・クエリ内の product_order パラメータ処理に存在する。入力はサニタイズされるが、安全なデータベース手法によるパラメータ化が欠落している。この欠陥を突く攻撃者は、クエリに悪意の SQL コマンドを注入できる。

UNION ベースのデータ抽出は困難であるが、時間ベースのブラインド SQL インジェクションにより攻撃は成立する。SLEEP ( ) などの SQL 関数を用いて、パスワード・ハッシュなどの機密データの段階的な抽出が可能となる。

なお、この脆弱性が影響を及ぼす範囲は、過去に WooCommerce を使用し、その後に無効化したサイトのみに限定されるが、依然として危険性は高い。

Wordfence と Avada による対応

すでに Wordfence は迅速に対応し、ファイアウォール保護を提供している。file read 問題である脆弱性 CVE-2026-4782 ついては 2026年03月25日に Premium ユーザー向けに緩和策が提供され、2026年04月24日には無料ユーザーも保護されている。SQL インジェクションの脆弱性 CVE-2026-4798 は、デフォルト firewall ルールによりブロックされている。

その一方で Avada チームは、2026年04月13日のバージョン 3.15.2 で部分修正を行い、2026年05月12日のバージョン 3.15.3 で完全修正をリリースした。

CVE-2026-4798 (Source: Wordfence)
CVE-2026-4798 (Source: Wordfence)

Web サイト管理者にとって必要なことは、Avada Builder をバージョン 3.15.3 へと直ちに更新することである。更新遅延はデータ窃取や完全侵害のリスクを残す。

攻撃チェーンの例を挙げると、file read の脆弱性を悪用する攻撃者は、コンフィグ・ファイルを取得し、そこから盗んだデータベース認証情報を用いて Web サイト全体を乗っ取る可能性がある。

100万以上のインストールに影響を及ぼす脆弱性が示すのは、WordPress エコシステムにおけるプラグインの脆弱性のリスクと、迅速なパッチ適用および多層防御の重要性である。

訳者後書:WordPress プラグイン Avada Builder に見つかった、2 種類の深刻な脆弱性を解説する記事です。問題の原因は、 画像表示関数におけるファイル形式や取得元の検証不備の CVE-2026-4782 と、データベース処理時におけるクエリのパラメータ化の欠落の CVE-2026-4798 にあります。これらが原因で、低権限のユーザーによる重要ファイル “wp-config.php” の読み取りや、未認証の攻撃者による不正な SQL 命令の送り込みが発生します。放置するとサイト全体の乗っ取りに繋がるため、管理者は直ちに完全修正版であるバージョン 3.15.3 へ更新する必要があります。よろしければ、WordPress での検索結果も、ご参照ください。