دنیا کے مقبول ترین ویب سائٹ پلیٹ فارمز میں شمار ہونے والے WordPress کے معروف پلگ ان Avada Builder میں دو انتہائی سنگین سیکیورٹی خامیاں دریافت ہوئی ہیں، جنہوں نے ایک ملین سے زائد ویب سائٹس کو ممکنہ سائبر حملوں کے خطرے سے دوچار کر دیا ہے۔ سیکیورٹی ماہرین کے مطابق ان کمزوریوں کے ذریعے حملہ آور حساس سرور فائلوں، ڈیٹا بیس اسناد اور صارفین کی خفیہ معلومات تک رسائی حاصل کر سکتے ہیں، جبکہ بعض صورتوں میں پوری ویب سائٹ کا کنٹرول بھی سنبھال سکتے ہیں۔

یہ خامیاں معروف ویب سیکیورٹی کمپنی Wordfence کے Bug Bounty پروگرام کے تحت سیکیورٹی محقق رفیع محمد نے دریافت کیں۔ تحقیقاتی رپورٹ سامنے آنے کے بعد ورڈپریس کمیونٹی میں تشویش کی لہر دوڑ گئی، کیونکہ Avada Builder دنیا بھر میں ہزاروں کاروباری، ای کامرس، تعلیمی اور میڈیا ویب سائٹس میں استعمال کیا جاتا ہے۔

پہلی خامی: حساس سرور فائلوں تک غیر مجاز رسائی

ماہرین کے مطابق پہلی خامی CVE-2026-4782 کے نام سے رجسٹر کی گئی ہے، جسے ایک Arbitrary File Read Vulnerability قرار دیا گیا ہے۔ یہ کمزوری Avada Builder کے ورژن 3.15.2 تک موجود رہی۔

رپورٹ کے مطابق اس خامی کے ذریعے کم سطحی رسائی رکھنے والے صارفین بھی سرور میں محفوظ اہم فائلیں پڑھ سکتے تھے۔ ان میں سب سے زیادہ حساس فائل wp-config.php شامل ہے، جو ہر ورڈپریس ویب سائٹ کا بنیادی کنفیگریشن حصہ سمجھی جاتی ہے۔

اس فائل میں موجود معلومات میں شامل ہیں:

• ڈیٹا بیس یوزر نیم اور پاس ورڈ
• سیکیورٹی authentication keys
• API اسناد
• سرور کنفیگریشن تفصیلات
• ویب سائٹ کے خفیہ ماحول سے متعلق معلومات

ماہرین کے مطابق اگر کوئی حملہ آور اس فائل تک رسائی حاصل کر لے تو وہ ویب سائٹ کے مکمل انفراسٹرکچر پر کنٹرول حاصل کرنے کے قابل ہو سکتا ہے۔

تحقیقات میں بتایا گیا کہ یہ خامی پلگ ان کے fusion_get_svg_from_file() فنکشن میں ناکافی validation اور غلط توثیقی نظام کے باعث پیدا ہوئی، جس نے سرور پر موجود فائلوں کو غیر محفوظ بنا دیا۔

دوسری خامی: خاموش مگر خطرناک SQL Injection حملہ

دوسری خامی CVE-2026-4798 کے نام سے سامنے آئی، جسے ماہرین نے Time-Based SQL Injection Vulnerability قرار دیا ہے۔ یہ خامی Avada Builder کے ورژن 3.15.1 تک موجود رہی۔

تحقیقی رپورٹ کے مطابق یہ مسئلہ پلگ ان کے product_order پیرامیٹر میں پایا گیا، جہاں صارف کے ان پٹ کو مناسب طریقے سے sanitize نہیں کیا جا رہا تھا۔ اس کمزوری کے ذریعے حملہ آور خفیہ SQL کمانڈز چلا کر ویب سائٹ کے ڈیٹا بیس تک رسائی حاصل کر سکتے ہیں۔

ممکنہ طور پر حملہ آور درج ذیل حساس معلومات چرا سکتے ہیں:

• صارفین کے پاس ورڈ ہیشز
• ایڈمن اکاؤنٹس کی تفصیلات
• صارفین کے ای میل ایڈریس
• آرڈر اور ٹرانزیکشن ریکارڈ
• ویب سائٹ کا خفیہ ڈیٹا

ماہرین کا کہنا ہے کہ اگرچہ Time-Based SQL Injection نسبتاً سست حملہ سمجھا جاتا ہے، تاہم تجربہ کار حملہ آور وقت کے فرق کو استعمال کرتے ہوئے خاموشی سے پورا ڈیٹا بیس حاصل کر سکتے ہیں۔

تصدیق شدہ اور غیر تصدیق شدہ دونوں حملہ آوروں کے لیے خطرہ

سیکیورٹی ماہرین نے خبردار کیا ہے کہ ان خامیوں کی خطرناک بات یہ ہے کہ بعض صورتوں میں غیر تصدیق شدہ حملہ آور بھی ان سے فائدہ اٹھا سکتے ہیں۔ اس کا مطلب ہے کہ حملہ آوروں کو ویب سائٹ میں مکمل لاگ ان رسائی درکار نہیں ہوگی۔

ماہرین کے مطابق:

• خودکار بوٹس ہزاروں ویب سائٹس کو اسکین کر سکتے ہیں
• Shared hosting استعمال کرنے والی ویب سائٹس زیادہ خطرے میں ہیں
• کمزور پاس ورڈ رکھنے والی ویب سائٹس فوری ہدف بن سکتی ہیں
• پرانے پلگ ان استعمال کرنے والی ویب سائٹس پر mass exploitation ممکن ہے

Wordfence نے فوری حفاظتی اقدامات نافذ کر دیے

ورڈپریس سیکیورٹی فرم Wordfence نے ان خطرات کے بعد فوری طور پر اپنے Firewall Rules اپ ڈیٹ کر دیے۔

کمپنی کے مطابق:

• Premium صارفین کو 25 مارچ 2026 سے حفاظتی اپ ڈیٹس فراہم کر دی گئی تھیں
• Free صارفین کو 24 اپریل 2026 سے تحفظ حاصل ہوا
• SQL Injection حملوں کے خلاف اضافی سیکیورٹی قوانین بھی فعال کر دیے گئے

کمپنی کا کہنا ہے کہ ان اقدامات کا مقصد حملہ آوروں کو exploit attempts سے روکنا اور ویب سائٹس کو فوری تحفظ فراہم کرنا تھا۔

Avada ٹیم نے جاری کیا سیکیورٹی پیچ

پلگ ان تیار کرنے والی Avada ڈویلپمنٹ ٹیم نے ان خامیوں کو پہلے جزوی طور پر ورژن 3.15.2 میں درست کیا، جبکہ مکمل حفاظتی پیچ ورژن 3.15.3 میں جاری کیا گیا۔

یہ اپ ڈیٹ 12 مئی 2026 کو جاری کی گئی، جس میں:

• File validation کو مزید سخت بنایا گیا
• Input sanitization بہتر کی گئی
• Unauthorized file access کو روکا گیا
• SQL query handling مزید محفوظ بنائی گئی

کمپنی نے تمام صارفین کو فوری طور پر تازہ ترین ورژن پر اپ ڈیٹ کرنے کی ہدایت جاری کی ہے۔

ویب سائٹ ایڈمنسٹریٹرز کے لیے ہنگامی ہدایات

سائبر سیکیورٹی ماہرین نے ویب سائٹ مالکان کو فوری طور پر درج ذیل اقدامات کرنے کا مشورہ دیا ہے:

فوری حفاظتی اقدامات

• Avada Builder کو فوراً اپ ڈیٹ کریں
• تمام ایڈمن پاس ورڈ تبدیل کریں
• Two-Factor Authentication فعال کریں
• Web Application Firewall استعمال کریں
• مشکوک لاگ ان سرگرمیوں کی نگرانی کریں

اضافی سیکیورٹی اقدامات

• روزانہ بیک اپ محفوظ رکھیں
• غیر ضروری پلگ ان حذف کریں
• سرور لاگز کا تفصیلی جائزہ لیں
• فائل permissions محدود کریں
• تمام تھیمز اور پلگ انز اپ ٹو ڈیٹ رکھیں

ورڈپریس ایکو سسٹم کے لیے ایک اور خطرے کی گھنٹی

ماہرین کے مطابق یہ واقعہ ایک بار پھر ظاہر کرتا ہے کہ ورڈپریس ایکو سسٹم میں تھرڈ پارٹی پلگ انز کتنے حساس سیکیورٹی خطرات پیدا کر سکتے ہیں۔ چونکہ لاکھوں ویب سائٹس انہی پلگ انز پر انحصار کرتی ہیں، اس لیے ایک معمولی سی خامی بھی عالمی سطح پر بڑے سائبر حملوں کا سبب بن سکتی ہے۔

سیکیورٹی ماہرین نے خبردار کیا ہے کہ اگر ویب سائٹ مالکان بروقت اپ ڈیٹس اور سیکیورٹی اقدامات کو نظر انداز کرتے رہے تو مستقبل میں مزید خطرناک حملے سامنے آ سکتے ہیں، جن کے نتیجے میں:

• بڑے پیمانے پر ڈیٹا لیک
• مالی نقصان
• ویب سائٹ ہائی جیکنگ
• صارفین کی معلومات کی چوری
• سروس ڈاؤن ٹائم

جیسے سنگین مسائل پیدا ہو سکتے ہیں۔

ماہرین کے مطابق جدید سائبر خطرات کے دور میں بروقت اپ ڈیٹس، مضبوط سیکیورٹی پالیسیاں اور مسلسل نگرانی ہی ویب سائٹس کو محفوظ رکھنے کا واحد مؤثر راستہ ہیں۔