勝手に管理ログインされるWordPress
WordPressは、HTMLなどの専門知識がなくても、ブログやWebサイトの作成・管理・更新が直感的に行えるオープンソースのCMS(コンテンツ管理システム)です。
世界シェアは約40%以上と最も利用されており、豊富なテーマとプラグインで自由なカスタマイズが可能です。
利用者が多いため、疑問やトラブルもネット検索ですぐに解決しやすいという面があります。
一方、利用者の多さはそのまま世界的な狙われやすさにつながっており、アップデートやセキュリティプラグインの導入が必須といえます。
そんなWordPressのプラグインで、厳しい脆弱性が確認されています。
- CVE-2026-1492
これは、User Registration & Membershipという名称のWordPressのプラグインにあることがわかった脆弱性です。
CVSS Baseスコアは、9.8です。
プラグインがメンバーシップ登録の機能を提供してくれるのですが、この機能の利用時にユーザ指定のロールを受け入れるものの、サーバ側のホワイトリストを適切に適用していないことがこの問題の原因となっています。
これにより、認証されていない攻撃者がメンバーシップ登録時にロール値を入力するだけで、管理者アカウントを作成できる可能性があります。
どこの誰かわからない人が、自分のWordPressで管理しているサイトの管理者アカウントをいつの間にか作っているという事態になるというものです。
管理者になったら、そのサイトのコンテンツは自由にできます。
マルウェア配布サイトとしてのコンテンツを置かれてしまうかもしれませんし、そのほかにも攻撃者の思うことが実現できることでしょう。
脆弱性の対象バージョンは、5.1.2以下のすべてのバージョンです。
このUser Registration & Membershipの有効インストール数は、2026年3月6日時点で6万件を超えています。
このうちのいくつの環境が現時点の最新で対策済みバージョンの5.1.3への更新が完了しているでしょうか。
転ばぬ先の杖、できる安全対策はタイムリーに実施しておきたいですね。
User Registration & Membership <= 5.1.2 – Unauthenticated Privilege Escalation via Membership Registration
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/user-registration/user-registration-membership-512-unauthenticated-privilege-escalation-via-membership-registration
| この記事をシェア |
|
|---|
