Krytyczne luki w Avada Builder dla WordPress. Ryzyko kradzieży poświadczeń i odczytu danych serwera

Wprowadzenie do problemu / definicja

Avada Builder, popularna wtyczka wykorzystywana do budowy stron WordPress metodą przeciągnij i upuść, znalazła się w centrum zainteresowania po ujawnieniu dwóch poważnych podatności bezpieczeństwa. Błędy umożliwiają odczyt dowolnych plików z serwera oraz wstrzyknięcie SQL, co może prowadzić do ujawnienia danych konfiguracyjnych, przejęcia poświadczeń i dalszej kompromitacji witryny.

Skala zagrożenia jest istotna nie tylko ze względu na liczbę wdrożeń, ale również przez charakter samych luk. W środowisku WordPress dostęp do plików konfiguracyjnych lub danych z bazy często oznacza możliwość przejęcia pełnej kontroli nad serwisem.

W skrócie

W Avada Builder wykryto dwie podatności: CVE-2026-4782 oraz CVE-2026-4798. Pierwsza pozwala uwierzytelnionemu użytkownikowi o niskich uprawnieniach odczytywać dowolne pliki na serwerze, druga umożliwia nieautoryzowane wstrzyknięcie SQL i wydobywanie danych z bazy w specyficznym scenariuszu związanym z WooCommerce.

• CVE-2026-4782 dotyczy odczytu dowolnych plików z serwera.
• CVE-2026-4798 umożliwia blind SQL injection oparty na opóźnieniach czasowych.
• Podatne są wersje Avada Builder do 3.15.2 oraz do 3.15.1, zależnie od błędu.
• Pełne poprawki wprowadzono w wersji 3.15.3.

Kontekst / historia

Avada Builder należy do najczęściej spotykanych komponentów w ekosystemie WordPress powiązanym z motywem Avada. Publiczne doniesienia wskazują, że rozwiązanie działa na około milionie instalacji, co nadaje sprawie szczególną wagę operacyjną.

Podatności zostały zgłoszone przez badacza bezpieczeństwa Rafie Muhammada w ramach programu bug bounty. Zgłoszenia trafiły do producenta w marcu 2026 roku. Częściowa poprawka została opublikowana 13 kwietnia 2026 roku w wersji 3.15.2, natomiast pełne usunięcie obu problemów nastąpiło 12 maja 2026 roku wraz z wydaniem wersji 3.15.3.

Znaczenie tych błędów wynika z faktu, że w WordPressie odczyt pliku konfiguracyjnego lub skuteczna ekstrakcja danych z bazy może otworzyć drogę do przejęcia panelu administracyjnego, ujawnienia danych użytkowników oraz naruszenia integralności całej witryny.

Analiza techniczna

CVE-2026-4782 to podatność typu arbitrary file read. Problem występuje w mechanizmie renderowania shortcode’ów, a dokładniej w obsłudze parametru custom_svg w shortcode fusion_section_separator. Brak odpowiedniej walidacji typu i źródła pliku umożliwiał odczyt lokalnych plików z systemu przez użytkownika posiadającego konto o niskim poziomie uprawnień.

Najbardziej wrażliwym celem w takim scenariuszu jest plik wp-config.php, który zazwyczaj zawiera nazwę bazy danych, login i hasło do bazy oraz klucze bezpieczeństwa WordPress. Pozyskanie tych informacji znacząco upraszcza dalszą eskalację ataku i może prowadzić do pełnego przejęcia serwisu.

Druga luka, CVE-2026-4798, to nieautoryzowane time-based blind SQL injection. Źródłem problemu był parametr product_order, którego wartość trafiała do klauzuli ORDER BY bez właściwego przygotowania zapytania. Atakujący mógł dzięki temu manipulować logiką zapytań i stopniowo wydobywać informacje z bazy danych bez potrzeby logowania.

Eksploatacja tej podatności wymaga jednak określonego scenariusza. Atak jest możliwy wtedy, gdy na stronie wcześniej aktywowano WooCommerce, a następnie go wyłączono, pozostawiając odpowiednie tabele bazy danych. Choć ogranicza to liczbę podatnych instalacji, taki stan środowiska nie należy do rzadkości, szczególnie po migracjach, testach lub zmianach architektury wtyczek.

Konsekwencje / ryzyko

Obie luki należy traktować jako poważne zagrożenie. W przypadku CVE-2026-4782 bariera wejścia może być relatywnie niska, ponieważ wiele witryn WordPress umożliwia publiczną rejestrację użytkowników. Konto subskrybenta może więc stać się punktem wyjścia do odczytu plików konfiguracyjnych i dalszej kompromitacji środowiska.

CVE-2026-4798 niesie ryzyko ujawnienia danych z bazy, w tym skrótów haseł, danych użytkowników, ustawień aplikacji, a także tokenów i sekretów zapisanych przez rozszerzenia. Nawet jeśli część danych przechowywana jest w postaci skrótów, ich wyciek zwiększa ryzyko ataków offline, credential stuffing oraz ruchu lateralnego do innych systemów.

Dla organizacji utrzymujących serwisy komercyjne, medialne lub sklepowe skutki mogą obejmować utratę integralności treści, przejęcie kont administracyjnych, naruszenie poufności danych klientów, przestoje operacyjne oraz konieczność przeprowadzenia pełnej obsługi incydentu. W przypadku e-commerce dochodzi również ryzyko reputacyjne i potencjalne obowiązki regulacyjne związane z naruszeniem ochrony danych.

Rekomendacje

Najważniejszym działaniem jest natychmiastowa aktualizacja Avada Builder do wersji 3.15.3 lub nowszej. Jeżeli wdrożenie poprawki nie może nastąpić od razu, warto tymczasowo ograniczyć możliwość rejestracji nowych użytkowników, zweryfikować role istniejących kont oraz zredukować ekspozycję funkcji dostępnych dla użytkowników o niskich uprawnieniach.

Administratorzy powinni przeprowadzić przegląd środowiska WordPress, ze szczególnym uwzględnieniem pliku wp-config.php, listy kont administracyjnych, zadań harmonogramu, zmian w motywach i niestandardowych wtyczkach. Jeśli istnieje podejrzenie nieuprawnionego odczytu plików, wskazana jest rotacja poświadczeń do bazy danych oraz odświeżenie kluczy bezpieczeństwa.

W środowiskach, w których wcześniej używano WooCommerce, a następnie go wyłączono, należy szczególnie uważnie przeanalizować ryzyko związane z SQL injection. Zalecane jest sprawdzenie logów HTTP i logów aplikacyjnych pod kątem nietypowych żądań zawierających parametr product_order, anomalii czasowych oraz prób enumeracji danych.

• Zaktualizować Avada Builder do wersji 3.15.3 lub nowszej.
• Zweryfikować wszystkie konta użytkowników i ich role.
• Przeanalizować logi pod kątem prób odczytu plików i nietypowych zapytań.
• Przeprowadzić rotację poświadczeń i kluczy bezpieczeństwa w razie podejrzenia kompromitacji.
• Wdrożyć WAF, monitoring zmian plików i dodatkowy audyt bezpieczeństwa.

Podsumowanie

Luki CVE-2026-4782 i CVE-2026-4798 pokazują, jak groźne mogą być błędy w popularnych komponentach WordPress, zwłaszcza gdy umożliwiają odczyt plików oraz wydobywanie danych z bazy. Jeden problem pozwala uzyskać dostęp do wrażliwych plików przy niskim poziomie uprawnień, drugi daje możliwość nieautoryzowanego pozyskiwania danych w określonym scenariuszu konfiguracyjnym.

Dla administratorów kluczowe znaczenie ma szybkie wdrożenie poprawek, analiza logów, przegląd kont i konfiguracji oraz rotacja poświadczeń tam, gdzie istnieje choćby minimalne podejrzenie wykorzystania podatności. Zwłoka może przełożyć się na pełną kompromitację serwisu i poważne konsekwencje biznesowe.

Źródła

• BleepingComputer – Avada Builder WordPress plugin flaws allow site credential theft
• Wordfence – 1,000,000 WordPress Sites Affected by Arbitrary File Read and SQL Injection Vulnerabilities in Avada Builder WordPress Plugin
• NVD – CVE-2026-4782 Detail
• Wordfence Threat Intelligence – Avada Builder <= 3.15.1 - Unauthenticated SQL Injection via 'product_order' Parameter
• Tenable – CVE-2026-4798