Dua Celah Keamanan pada Plugin Avada Builder WordPress Ancam Pencurian Kredensial Situs

Dua kerentanan kritis ditemukan pada plugin Avada Builder, salah satu komponen utama dari tema WordPress populer Avada yang diperkirakan memiliki lebih dari satu juta instalasi aktif. Celah keamanan ini memungkinkan penyerang membaca file sensitif di peladen (server) hingga menguras informasi dari basis data (database) situs.

Kedua celah ini ditemukan oleh peneliti keamanan Rafie Muhammad melalui program Bug Bounty Wordfence, dan laporan tersebut telah ditindaklanjuti dengan perilisan tambalan (patch) resmi.

Detail Kerentanan Fisik dan Basis Data

Celah keamanan yang ditemukan mencakup kemampuan membaca file internal peladen secara ilegal serta injeksi perintah database:

1. CVE-2026-4782: Arbitrary File Read (Pembacaan File Sembarang)

• Dampak: Memungkinkan pengguna dengan hak akses minimal (setingkat Subscriber) untuk membaca konten file apa pun yang ada di peladen.
• Penyebab: Masalah terletak pada fungsi perenderaan shortcode plugin dan parameter custom_svg. Plugin gagal memvalidasi tipe file atau sumbernya dengan benar.
• Risiko Terbesar: Penyerang dapat mengintip isi file wp-config.php, yang memuat kredensial basis data serta kunci kriptografi situs. Akses ke file ini umumnya berujung pada pengambilalihan akun administrator (full site takeover).
• Versi Terdampak: Semua versi hingga 3.15.2.

2. CVE-2026-4798: Time-Based Blind SQL Injection

• Dampak: Memungkinkan penyerang tanpa autentikasi (unauthenticated) mengekstrak informasi sensitif dari database, termasuk hash kata sandi pengguna.
• Penyebab: Input dari pengguna pada parameter product_order dimasukkan langsung ke dalam klausul SQL ORDER BY tanpa melalui proses penyiapan kueri (query preparation) yang aman.
• Syarat Eksploitasi: Celah ini hanya bisa dieksploitasi jika situs tersebut pernah mengaktifkan plugin e-commerce WooCommerce lalu menonaktifkannya, dengan catatan tabel database bawaan WooCommerce masih utuh di dalam sistem.
• Versi Terdampak: Semua versi hingga 3.15.1.

Kronologi Pengungkapan dan Rilis Patch

Meskipun celah pembacaan file membutuhkan akun subscriber, hal ini bukan jaminan aman karena banyak situs WordPress yang membuka fitur registrasi publik bagi pengguna baru. Berikut lini masa penanganan celah tersebut:

• 21 Maret: Celah dilaporkan ke pihak Wordfence.
• 24 Maret: Wordfence meneruskan laporan ke pengembang Avada Builder.
• 13 April: Rilis versi 3.15.2 (tambalan parsial).
• 12 Mei: Rilis versi 3.15.3 (tambalan penuh untuk kedua celah).

Rekomendasi Tindakan

Bagi pemilik situs, agensi web, atau penyedia layanan hosting yang mengelola web klien dengan tema Avada, sangat disarankan untuk segera melakukan langkah berikut:

1. Periksa versi plugin Avada Builder pada dasbor WordPress Anda.
2. Segera lakukan pembaruan (update) ke versi 3.15.3 atau yang lebih baru.
3. Lakukan audit berkala pada akun pengguna dengan hak akses rendah untuk memastikan tidak ada registrasi mencurigakan yang memanfaatkan celah ini sebelum pembaruan dilakukan.