Hơn 1 triệu website WordPress có nguy cơ rò rỉ dữ liệu vì lỗ hổng trong Avada Builder

[WhiteHat Team]

Một loạt lỗ hổng nghiêm trọng vừa được phát hiện trong plugin Avada Builder – công cụ xây dựng giao diện phổ biến trên WordPress với hơn 1 triệu website đang sử dụng, làm dấy lên lo ngại về nguy cơ rò rỉ dữ liệu và xâm nhập hệ thống trên diện rộng.
​

Hai lỗ hổng được công bố có thể cho phép kẻ tấn công đọc các tệp nhạy cảm trên máy chủ và khai thác cơ sở dữ liệu để đánh cắp thông tin người dùng. Các vấn đề bảo mật này được phát hiện bởi chuyên gia Rafie Muhammad thông qua chương trình săn lỗi của Wordfence.

Lỗ hổng đầu tiên là CVE-2026-4782, ảnh hưởng tới Avada Builder phiên bản 3.15.2 trở về trước. Đây là lỗi đọc tệp tùy ý, cho phép người dùng có quyền thấp như subscriber truy cập trái phép vào các tệp quan trọng trên máy chủ. Nguyên nhân xuất phát từ việc plugin xử lý không an toàn tham số “custom_svg” trong shortcode. Do thiếu cơ chế kiểm tra và xác thực đầu vào, kẻ tấn công có thể thao túng chức năng tải tệp để đọc dữ liệu từ những vị trí tùy ý trên hệ thống.

Đáng lo ngai, kẻ tấn công có thể truy cập tệp wp-config.php, nơi lưu trữ thông tin kết nối cơ sở dữ liệu, khóa bảo mật và nhiều dữ liệu nhạy cảm khác của website WordPress. Dù điểm CVSS chỉ được 6,5 nhưng lỗ hổng này vẫn tiềm ẩn rủi ro đáng kể vì yêu cầu khai thác tương đối thấp và có thể bị lợi dụng bởi các tài khoản phổ thông đã bị chiếm quyền hoặc đăng ký trái phép.

Đáng chú ý hơn là lỗ hổng SQL Injection mang mã CVE-2026-4798, ảnh hưởng tới Avada Builder phiên bản 3.15.1 trở về trước. Lỗi này cho phép kẻ tấn công chưa xác thực thực hiện tấn công SQL Injection dạng time-based thông qua tham số “product_order”. Do plugin không làm sạch truy vấn SQL đúng cách, các câu lệnh độc hại có thể được chèn trực tiếp vào quá trình xử lý cơ sở dữ liệu. Trong trường hợp khai thác thành công, dữ liệu người dùng, email và hash mật khẩu đều có nguy cơ bị đánh cắp.

Điểm nguy hiểm của lỗ hổng nằm ở chỗ việc khai thác không tạo ra phản hồi trực tiếp mà sử dụng kỹ thuật time-based SQL Injection với các hàm trì hoãn như SQL SLEEP để rò rỉ dữ liệu từng phần. Điều này khiến hoạt động tấn công khó bị phát hiện hơn trong log hệ thống và có thể âm thầm diễn ra trong thời gian dài. Việc khai thác CVE-2026-4798 yêu cầu website từng cài đặt WooCommerce nhưng sau đó đã vô hiệu hóa plugin này. Tuy nhiên, đây không phải điều kiện hiếm gặp trong thực tế, đặc biệt với các website thương mại điện tử đã thay đổi mô hình vận hành hoặc ngừng bán hàng.

Nhóm phát triển Avada đã phát hành bản vá theo hai giai đoạn. Phiên bản 3.15.2 chỉ xử lý một phần vấn đề, trong khi bản vá hoàn chỉnh được phát hành trong Avada Builder 3.15.3 vào ngày 12/5/2026.

Các quản trị viên WordPress được khuyến cáo cập nhật plugin ngay lập tức, đồng thời rà soát lại tài khoản người dùng có quyền thấp, kiểm tra log truy cập bất thường và triển khai các lớp bảo vệ bổ sung như tường lửa ứng dụng web.

Với hơn 1 triệu website sử dụng Avada Builder, chỉ cần một lỗi kiểm tra đầu vào hoặc xử lý truy vấn không an toàn cũng đủ để tạo ra bề mặt tấn công cực lớn trên Internet. Nguy hiểm hơn, các nhóm tấn công hiện gần như đã tự động hóa hoàn toàn quá trình khai thác. Ngay sau khi thông tin lỗ hổng được công bố, các hệ thống quét có thể lập tức rà tìm website chưa cập nhật bản vá để khai thác hàng loạt. Điều đó khiến việc chậm cập nhật plugin không còn là rủi ro lý thuyết mà có thể nhanh chóng trở thành điểm khởi đầu cho các vụ đánh cắp dữ liệu hoặc chiếm quyền website.​