WordPressは、専門的なプログラミング知識がなくても、ブログやWebサイトの作成・更新ができるソフトウェア(CMS)です。
世界中のWebサイトの非常に高い割合で利用されており、個人の趣味ブログから企業の公式サイトまで幅広く活用されています。
基本使用が無料であること、カスタマイズ性が高いこと、などがあり、利用しているサイトは非常に多くあります。
利用しているサイトが多くあることでそれそのものがまた、インターネット上に使い方やカスタマイズのノウハウが豊富に存在するというメリットとなる現象となっていて、正のスパイラルで利用者が増えていっています。
しかし、この正のスパイラルは、利用者の多さと注目度の多さと同義となり、脅威アクターの標的としての価値が高まっていくという負のスパイラルとも重なっています。
またしても、WordPressの脆弱性が案内されています。
- CVE-2026-8732
これは、WP Maps Proのバージョン6.1.0以前のバージョンに影響する脆弱性です。
WP Maps Proは、インタラクティブでカスタマイズ可能な地図や店舗検索機能を構築するためのプレミアムWordPressプラグインです。
このプラグインは、地図上に複数の場所を表示する必要のあるサイトで多く利用されており、企業、不動産、旅行などの領域で使用されています。
有償利用するプラグインなのですが、15,800件以上の販売実績があります。
このプラグインの脆弱なバージョンを使用している場合、脅威アクターは認証なしで不正な管理者アカウントを作成できてしまいます。
脅威アクターは、脆弱な特別に作成されたリクエストを送信し、新しいWordPressユーザを作成し、管理者権限を割り当て、パスワードなしのログインURLを生成し、それをリモートシステムに送信するコードを実行できます。
攻撃者がこのURLにアクセスすると、パスワードやその他の認証を必要とせずに、新しく作成された管理者アカウントに自動的に認証されます。
この脆弱性は単に概念実証として確認された状態などではなく、実際に脅威活動に使用されている状態となっています。
いつの間にか知らない管理者アカウントが作成されている状態になっている、怖すぎます。
対策はいつも通りに可能です。
対策済みのバージョンへの更新です。
身の回りで動作しているものを正確に把握し、それら全体を死角がないような形で更新していきましょう。
確実な範囲での資産管理と、タイムリーなパッチケイデンスで脅威の可能性を下げていきましょう。
15,000 WordPress Sites Affected by Administrator Account Creation Vulnerability in WP Maps Pro WordPress Plugin
https://www.wordfence.com/blog/2026/05/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin/
| この記事をシェア |
|
|---|
