広く使用されているWordPressプラグインの重大な脆弱性により、20万以上のウェブサイトが乗っ取りの可能性にさらされており、セキュリティコミュニティ全体で緊急の懸念が生じています。
セキュリティ研究者であるWordfenceは、AI駆動のPRISMプラットフォームを使用して、プライバシー重視の分析ツールであるBurst Statisticsプラグインの重大な認証バイパス欠陥を発見しました。
CVE-2026-8181として追跡され、CVSSスコアが9.8の問題により、攻撃者は有効な認証情報なしに管理者レベルのアクセス権を取得できます。
WordPressプラグインの欠陥
この脆弱性はプラグインバージョン3.4.0~3.4.1.1に影響を与え、2026年4月23日に導入されました。注目すべきことに、わずか15日後に発見され、ベンダーへの通知から24時間以内にパッチが適用されました。これはAI支援による研究がいかに脆弱性の露出期間を短縮しているかを示しています。
欠陥の根本は、プラグインのMainWP統合における認証結果の不適切な検証に起因しています。具体的には、WordPressのアプリケーションパスワード認証システムからの戻り値を検証する責任がある関数が、戻り値を正しく処理できていません。
認証の成功を確認する代わりに、プラグインはnull値を含むエラー以外の応答を誤って有効として扱います。
この見落としにより、認証されていない攻撃者は既知の管理者ユーザー名と任意のパスワードを使用して悪意のあるHTTPリクエストを作成できます。
Authorizationヘッダーを悪用し、WordPressREST APIエンドポイントに特別に細工されたリクエストを送信することで、攻撃者はリクエストの期間、管理者になりすましてアクセスできます。
最悪の場合、脅威アクターは/wp-json/wp/v2/usersなどのエンドポイントにリクエストを送信して新しい管理者アカウントを作成し、ログインせずにウェブサイトの永続的な制御を効果的に獲得できます。
攻撃にはブルートフォースや認証情報の盗難は必要ありません。有効な管理者ユーザー名の知識があるだけで十分です。これは悪用の障壁を大幅に低下させ、大規模なスキャンと自動化された攻撃の可能性を高めます。
Wordfenceは素早く対応し、2026年5月8日に脆弱性が発見および検証された同じ日にプレミアムユーザーにファイアウォールルールを展開しました。無料ユーザーは2026年6月7日から保護を受け始めると予想されます。
プラグイン開発者は開示後、2026年5月12日に完全にパッチされたバージョン(3.4.2)をリリースし、迅速に対応しました。修正により、認証されたWordPressユーザーオブジェクトのインスタンスのみが有効な認証済みユーザーに限定されてアクセス権を付与されるようになります。
セキュリティ専門家は、認証バイパスを可能にする脆弱性はウェブアプリケーションのコア信頼モデルを損なうため、特に危険であると警告しています。この場合、欠陥により攻撃者は正当な認証チェックなしに管理者になりすましてアクセスできていました。
Burst Statisticsを使用しているウェブサイト所有者は、バージョン3.4.2以降に直ちに更新することを強くお勧めします。パッチの適用を遅延させると、サイトが悪用、データ侵害、またはサイト全体の侵害のリスクにさらされる可能性があります。
悪用の簡潔性と影響を受けたインストール数の規模を考えると、この脆弱性は今後数週間で攻撃者の主要なターゲットになると予想されています。
翻訳元: https://gbhackers.com/critical-wordpress-plugin-flaw-allows-unauthorized-access/
