สรุปสั้น

ปลั๊กอิน Avada Builder สำหรับ WordPress ที่มียอดติดตั้งกว่า 1 ล้านเว็บไซต์ พบช่องโหว่ร้ายแรง 2 ตัว CVE-2026-4782 เป็นช่องโหว่ arbitrary file read ที่ผู้โจมตีสามารถอ่านไฟล์ระบบ เช่น wp-config.php ได้โดยไม่ต้องยืนยันตัวตน CVE-2026-4798 มีคะแนน CVSS 7.5 เป็นช่องโหว่ time-based blind SQL injection ที่ดึง password hashes จากฐานข้อมูลได้ ช่องโหว่ทั้งสองถูกใช้งานได้โดย unauthenticated attacker ไม่จำเป็นต้องมี account บนเว็บไซต์ ผู้พัฒนาออกแพตช์บางส่วนในเวอร์ชัน 3.15.2 (13 เมษายน) และแพตช์เต็มในเวอร์ชัน 3.15.3 (12 พฤษภาคม 2569) เว็บไซต์ที่ยังไม่อัปเดตมีความเสี่ยงสูงที่จะถูกขโมย credentials ของ admin

รายละเอียดข่าว

Avada เป็น WordPress theme ที่ขายดีที่สุดบน ThemeForest มียอดขายกว่า 950,000 licenses และ Avada Builder เป็นปลั๊กอิน page builder ที่มาพร้อมกับ theme ทำให้จำนวนเว็บไซต์ที่ใช้งานอยู่มากกว่า 1 ล้านแห่ง

Wordfence รายงานช่องโหว่ทั้งสองเมื่อวันที่ 21 มีนาคม 2569 และแจ้งผู้พัฒนาเมื่อ 24 มีนาคม กว่าจะได้แพตช์เต็มต้องรอจนถึง 12 พฤษภาคม

รายละเอียดช่องโหว่

CVE-2026-4782 — Arbitrary File Read (CVSS 6.5)

  • ผู้โจมตีส่ง request พิเศษเพื่ออ่านไฟล์ใดก็ได้บนเซิร์ฟเวอร์
  • เป้าหมายหลักคือ wp-config.php ที่เก็บ database credentials, secret keys และ authentication salts
  • ไม่ต้องยืนยันตัวตน (unauthenticated)

CVE-2026-4798 — Time-based Blind SQL Injection (CVSS 7.5)

  • อยู่ใน parameter product_order ที่ถูกใส่เข้า SQL ORDER BY clause โดยไม่มีการ sanitize
  • ผู้โจมตีสามารถดึงข้อมูลจากฐานข้อมูลทั้งหมด รวมถึง password hashes
  • เงื่อนไข: เว็บไซต์ต้องเคยใช้ WooCommerce (แม้ปิดไปแล้ว) และ database tables ของ WooCommerce ยังอยู่
  • ไม่ต้องยืนยันตัวตน (unauthenticated)

ผลกระทบต่อไทย

WordPress เป็นแพลตฟอร์มที่ใช้มากที่สุดสำหรับเว็บไซต์ในประเทศไทย ทั้งเว็บ e-commerce, เว็บข่าว, เว็บองค์กร และเว็บหน่วยงานราชการ Avada theme มียอดนิยมสูงเพราะใช้งานง่ายและมี template สวย

เว็บไซต์ไทยที่ใช้ Avada Builder + WooCommerce (ร้านค้าออนไลน์) มีความเสี่ยงสูงสุด เพราะถูกโจมตีด้วย SQL injection ได้โดยไม่ต้อง login และขโมย password hashes ของ admin ไปถอดรหัสได้

คำแนะนำ

  • อัปเดต Avada Builder เป็นเวอร์ชัน 3.15.3 ทันที
  • ตรวจสอบ access logs ว่ามี request ผิดปกติไปยัง Avada Builder endpoints หรือไม่
  • เปลี่ยนรหัสผ่าน admin ทั้งหมดหากยังใช้เวอร์ชันเก่า
  • ตรวจสอบว่า wp-config.php ไม่ถูกเข้าถึงจากภายนอก
  • พิจารณาใช้ Web Application Firewall (WAF) เพื่อบล็อก SQL injection attempts

แหล่งอ้างอิง