- WP Maps Proにおける重大な脆弱性が開示——攻撃者がハードコードされた管理者アカウントを作成可能
- 悪用が進行中:Wordfenceが1日で3,600件以上の攻撃試行をブロック
- 5月20日にパッチ(v6.1.1)リリース済み。早急なアップグレードが必要
攻撃者たちは、人気のWordPressプラグインに存在する重大な脆弱性を積極的に悪用し、管理者アカウントを作成することでウェブサイト全体を乗っ取ろうとしています。この事実は、脆弱性を最初に開示したDavid Brown氏をはじめ、実際の悪用試行を確認したDefiantなど複数のセキュリティ研究者によって報告されています。
問題のプラグインは「WP Maps Pro」です。Google MapsまたはOpenStreetMapを使い、カスタマイズ可能なマップやインタラクティブな店舗ロケーターなどを作成できるプレミアムWordPressプラグインです。Envato Marketのデータによると、現在15,000以上のウェブサイトで使用されています。
Brownの調査によると、このプラグインには「管理者アカウント作成による権限昇格」の脆弱性が存在しており、攻撃者がハードコードされた管理者ロールで新しいWordPressユーザーを作成できる状態にありました。この脆弱性はCVE-2026-8732として追跡されており、深刻度スコアは9.8/10(緊急)です。バージョン6.1.0以前に存在することが確認されています。
修正の適用
Wordfenceを手掛けるサイバーセキュリティ企業Defiantは、同社の研究者がわずか1日で3,600件以上の悪用試行を観測・阻止したと発表しています。
「check_tempパラメータをfalseに設定したリクエストが送信されると、この関数はwp_insert_user()を通じて新しいWordPressユーザーを作成します。その際、ロールには管理者がハードコードされており、ユーザー名はランダムに生成され、メールアドレスには[email protected]がハードコードされています」と研究者たちは説明しています。「その後、generate_login_link()を使って『マジックログインURL』を生成し、ユーザーメタとして保存したうえで、レスポンスボディに返します。」
修正は最初の開示から4日後の5月20日にリリースされました。攻撃の標的となるリスクを避けるため、ユーザーはできるだけ早くバージョン6.1.1へのアップグレードが推奨されています。
WordPressは現在のインターネットを支える主要なプラットフォームであると同時に、最も標的にされやすい存在の一つでもあります。無料・有料を問わず膨大なプラグインやテーマのエコシステムが存在するため、今回のような攻撃に常に悪用されている状況です。
