Avada Builder WordPress 插件漏洞暴露网站凭证

执行摘要

WordPress的Avada Builder插件存在两个漏洞，该插件安装在大约一百万个网站上，允许攻击者读取任意服务器文件并提取敏感数据库内容。第一个漏洞，CVE-2026-4782，是任何具有订阅者级别权限的经过身份验证的用户都可以访问的任意文件读取。第二个漏洞，CVE-2026-4798，是一个未经身份验证的基于时间的盲SQL注入，可以泄露密码哈希和其他凭证，但仅在之前启用然后停用WooCommerce的网站上有效。研究员Rafie Muhammad通过Wordfence Bug Bounty Program报告了这两个问题，分别获得了3386美元和1067美元的奖励。2026年5月12日发布了完全修补的版本3.15.3。

技术分析

Avada Builder是一个用于Avada WordPress主题的拖放页面构建插件，使网站所有者能够在不编写代码的情况下创建布局和设计元素。其广泛的采用使其成为一个有吸引力的目标。

CVE-2026-4782 — 任意文件读取

这个漏洞位于插件的短代码渲染功能中，特别是通过custom_svg参数。Wordfence研究人员确定，插件在处理短代码输入时未能验证文件类型或来源，根据与BleepingComputer共享的技术分析。具有订阅者级别访问权限的经过身份验证的用户可以利用这一点来读取服务器上的任何文件的内容，包括wp-config.php。

访问wp-config.php尤其具有破坏性，因为该文件包含数据库凭证、身份验证密钥和盐值。获得这些秘密的攻击者可以直接连接到网站的数据库，伪造会话cookie，或提升权限以危及管理员帐户，导致完全接管网站。Wordfence因为需要身份验证而将这个漏洞评为中等严重性，但障碍很低：许多WordPress网站默认允许用户注册，订阅者帐户很容易创建或危及。

CVE-2026-4798 — 未经身份验证的SQL注入

第二个漏洞是product_order参数中的基于时间的盲SQL注入。插件将用户控制的输入直接插入SQL ORDER BY子句，而没有参数化查询或适当的清理。这允许未经身份验证的攻击者通过观察响应时间差异，逐个字符提取数据库中的数据。

利用的前提是WooCommerce必须在某个时候在网站上安装并启用，然后停用，留下其数据库表不变。这个条件在已经切换平台或关闭商店的电子商务网站上很常见。攻击者可以利用注入来检索所有用户帐户的密码哈希，然后可以在离线状态下破解以获得经过身份验证的访问权限。

披露时间线

Rafie Muhammad于2026年3月21日向Wordfence提交了这两个漏洞。Wordfence于3月24日向Avada Builder出版商报告了它们。部分修复版本3.15.2于4月13日发布，解决了文件读取问题，但没有解决SQL注入问题。完全修补的版本3.15.3于5月12日发布，解决了这两个问题。

缓解措施与建议

网站管理员应立即将Avada Builder更新到版本3.15.3。对于无法立即更新的网站，以下缓解措施可以降低风险：

• 在不需要它的WordPress网站上禁用用户注册，移除利用CVE-2026-4782所需的订阅者级别访问权限。
• 如果插件不再使用，删除或清理WooCommerce数据库表，消除CVE-2026-4798利用的先决条件。
• 监控服务器访问日志，查找针对wp-config.php的异常请求或针对product_order参数的不寻常SQL查询模式。
• 实施Web应用程序防火墙（WAF）规则，以阻止包含针对Avada Builder端点的可疑短代码或SQL注入有效载荷的请求。