WordPress Avada Builder の脆弱性 CVE-2026-8713:任意のファイル削除の恐れ

Critical WordPress Plugin Bug Could Allow File Deletion Attacks on 1 Million Sites

2026/06/19 gbhackers — 広く使用されている WordPress プラグインである Avada (Fusion) Builder において、深刻なセキュリティ脆弱性が発見された。この CVE-2026-8713 (CVSS:9.1) を悪用する未認証の攻撃者は、任意のファイルを削除できるようになるため、100万件を超えるインストール環境で Web サイト全体が侵害される可能性がある。

この脆弱性が影響を及ぼす範囲は、バージョン 3.15.3 以下であり、すでにバージョン 3.15.4 で修正されている。なお、この脆弱性はセキュリティ研究者 daroo により発見され、Wordfence Bug Bounty Program を通じて報告されたものであり、$3,600 の報奨金が支払われた。

深刻な WordPress プラグインのバグ

この脆弱性は、Fusion_Form_DB_Entries クラスの一部である maybe_delete_files() 関数におけるファイルパス検証の不備に起因する。Avada Builder には、ユーザーの送信データをデータベースへ保存した後に、プライバシー保護のためのクリーンアップを実行するフォーム機能が含まれている。このクリーンアップ・ルーチンは、定義された有効期限の経過後に、保存済みエントリを削除または匿名化するよう設計されている。

しかし、不適切なサニタイズとパス正規化の欠如により、この関数はファイルパスが意図されたアップロード・ディレクトリ内に収まっているかどうかを検証できないため、パス・トラバーサル・シーケンスを含む細工されたフォーム入力を送信する攻撃者は、この脆弱性を悪用できる。

また、このプラグインは realpath() などの関数を用いたディレクトリ境界の強制を行っていない。そのため、アップロード・ディレクトリ外の機密ファイルへの参照を含む悪意のパスが保持され、クリーンアップ処理が実行された後に、攻撃者が制御する URL がファイルシステム・パスへ変換される。その後に、このパスが WordPress の wp_delete_file() 関数へ渡されるため、サーバ上の任意のファイルが削除される。

Avada Builder Path Traversal Blocked (Source:Wordfence)
Avada Builder Path Traversal Blocked (Source:Wordfence)

この脆弱性を悪用するには、エントリをデータベースへ保存するよう設定された、公開アクセス可能な Avada フォームが必要になる。未認証の攻撃者は wp_ajax_nopriv_fusion_form_submit_ajax エンドポイントへリクエストを送信し、フォームデータへ悪意あるペイロードを注入する。それと同時に、fusion_privacy_expiration_interval/privacy_expiration_action などのパラメータを操作して即時削除を誘発できるが、クリーンアップ・ルーチンが shutdown hook を介してエントリを自動処理するため、管理者による操作や介入は不要である。

特に危険なのは、攻撃者が “wp-config.php” などの重要ファイルを削除した場合であり、このファイルが削除されると WordPress はインストール直後の状態へ戻るため、攻撃者は悪意あるデータベースを用いてサイトを再コンフィグできるようになる。その結果、プラグインやテーマを通じて任意の PHP コードの実行またはデプロイが可能になるため、完全なリモート・コード実行とサイト全体の乗っ取りにつながる恐れがある。

Wordfence は、自社のファイアウォールが、送信されたフォームデータ内のパス・トラバーサル攻撃の試みを検出/ブロックするため、この脆弱性の悪用から保護できることを確認している。なお、この脆弱性は、2026年5月15日に Avada 開発チームへ責任あるかたちで報告され、迅速な修正作業を経て 2026年6月2日にパッチがリリースされた。

この脆弱性の深刻さと悪用の容易さを踏まえ、Avada Builder を使用している管理者に対して強く推奨されるのは、直ちにバージョン 3.15.4 へとアップデートすることだ。さらにユーザー組織は、公開されているフォームを監査するとともに Web アプリケーション・ファイアウォールによる保護を導入して、不審なフォーム送信や予期しないファイル削除をログで監視することで、潜在的な侵害リスクを軽減すべきである。

この脆弱性 CVE-2026-8713 の主な原因は、プラグイン内の関数におけるファイルパスの検証不備にあります。ユーザーが入力したデータを処理するクリーンアップ機能において、適切なサニタイズやパスの正規化が行われていませんでした。そのため、プログラム側でディレクトリの境界を正しく制限できず、攻撃者が指定した不正なパスを受け入れてしまう状態になっています。この原因により、アップロード用フォルダ以外の重要なファイルまで削除されてしまい、最終的に Web サイト全体が乗っ取られる深刻な危険性につながります。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。