Avada Builder 워드프레스 플러그인 결함, 사이트 자격증명 탈취 가능
WordPress용 Avada Builder 플러그인(활성 설치가 약 100만 건)에서 발견된 두 가지 취약점으로 해커가 임의의 파일을 읽고 데이터베이스에서 민감한 정보를 추출할 수 있습니다.
첫 번째 결함은 CVE‑2026‑4782로 추적되며, 구독자 수준 이상의 인증된 사용자가 플러그인 3.15.2까지 모든 버전에서 서버상의 어떤 파일 내용도 읽을 수 있습니다.
두 번째 보안 문제는 CVE‑2026‑4798이라는 식별자를 갖고 있으며, 인증 없이도 활용 가능한 SQL 인젝션입니다. 다만, 이 취약점은 WordPress용 WooCommerce 전자상거래 플러그인이 활성화된 뒤 비활성화된 경우에만 악용될 수 있습니다.
Avada Builder는 Avada WordPress 테마용 드래그‑앤‑드롭 페이지 빌더 플러그인으로, 코드를 작성하지 않고도 웹사이트 레이아웃, 콘텐츠 섹션 및 디자인 요소를 만들고 커스터마이즈할 수 있게 해줍니다.
이 두 취약점은 보안 연구원 Rafie Muhammad이 발견했으며, Wordfence 버그 바운티 프로그램을 통해 보고하고 각각 $3,386와 $1,067의 보상을 받았습니다.
Wordfence는 해설에서 임의 파일 읽기가 플러그인의 쇼트코드 렌더링 기능과 custom_svg 매개변수를 통해 가능하다고 설명합니다. 플러그인이 파일 유형이나 출처를 제대로 검증하지 않아 wp-config.php와 같은 민감한 파일에 접근할 수 있게 되며, 이 파일에는 일반적으로 데이터베이스 자격 증명과 암호화 키가 포함되어 있습니다.
wp-config.php에 접근하면 관리자 계정이 탈취되고 전체 사이트를 장악당할 위험이 있습니다.
구독자 수준 접근 권한만 필요하다는 이유로 중간 심각도 등급을 받았지만, 많은 WordPress 사이트가 사용자 등록을 허용하기 때문에 실제 장벽은 되지 않습니다.
시간 기반 블라인드 SQL 인젝션 취약점(CVE‑2026‑4798)은 Avada Builder 3.15.1까지의 버전에 영향을 미칩니다. 이 문제는 product_order 매개변수의 사용자 입력이 적절한 쿼리 준비 없이 SQL ORDER BY 절에 삽입되면서 발생합니다.
인증되지 않은 공격자는 이를 이용해 사이트 데이터베이스에서 비밀번호 해시를 포함한 민감한 정보를 추출할 수 있습니다. 활용 전제 조건은 WooCommerce를 사용했다가 비활성화했으며, 해당 데이터베이스 테이블이 그대로 존재해야 한다는 점입니다.
두 취약점은 3월 21일 Wordfence에 제출되었고, 3월 24일 Avada Builder 제작사에 보고되었습니다. 부분 수정 버전인 3.15.2가 4월 13일에 출시되었고, 완전 패치된 3.15.3 버전은 5월 12일에 배포되었습니다.
영향을 받는 웹사이트 소유자·관리자는 가능한 한 빨리 Avada Builder 3.15.3 버전으로 업데이트할 것을 권고합니다.
검증 격차: 자동화된 펜테스팅이 한 가지 질문에만 답한다. 여섯 가지가 필요하다.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 이동할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어 제어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 올바른지 등을 테스트하도록 만들어지지 않았습니다.
이 가이드는 실제로 검증해야 할 6가지 영역을 다룹니다.