広く利用されているminiOrange OAuthシングルサインオン(SSO)のWordPressプラグインに、CVSSスコア9.8というほぼ最大値の深刻な認証バイパスの脆弱性が発見されました。
CVE-2026-57807として追跡されているこの脆弱性は、バージョン38.5.8までのすべてのプラグインバージョンに影響します。現時点では未修正のままで、ベンダーから公式パッチは提供されていません。
WordPressのOAuth SSOプラグインに深刻な脆弱性
セキュリティ研究者のKim Dvash氏によって発見され、2026年6月6日に報告されたこの脆弱性は、2026年7月9日にPatchstackのデータベースで公開されました。
Securityaudit services
この脆弱性はCWE-288(代替パスまたはチャネルを利用した認証バイパス)に分類され、OWASP A7(識別と認証の失敗)にマッピングされています。プラグインのパスワード復旧の仕組みを悪用するもので、この仕組みはログイン制御を適切に強制できない代替の認証経路となっています。
CVSS 3.1のベクトル文字列AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hは、極めて高いリスクレベルを示しています。攻撃は完全にネットワーク経由で実行可能で、権限は一切不要、ユーザーの操作も必要とせず、機密性・完全性・可用性のすべてを完全に侵害できます。
この脆弱性の悪用に成功すると、未認証のリモート攻撃者が認証を完全にバイパスし、サイト管理者を含む登録済みの任意のWordPressユーザーとしてログインできるようになります。
これにより、サイトの完全な乗っ取り、悪意のあるコンテンツの注入、データの窃取、ホスティング環境内での横移動などが引き起こされる可能性があります。この攻撃はプラグインのパスワード復旧フロー(CAPEC-50: パスワード復旧の悪用)を悪用するもので、複雑さの低いリモート操作で発動できるため、大規模な悪用が容易です。
Patchstackはこの脆弱性を優先度の高い問題として位置づけ、この種の脆弱性はトラフィック量や公開度に関わらず、無差別に何千ものWordPressサイトを標的にする大規模キャンペーンで頻繁に悪用されると警告しています。
2026年7月10日時点で、miniOrangeから公式パッチはまだ提供されていません。Patchstackは正規・悪意ある悪用の試みの両方をブロックする仮想パッチ(WAF)ルールを導入し、Patchstackを利用しているサイトに対して公式修正版が出るまでの一時的な保護を提供しています。
該当プラグインを利用しているサイト管理者は、以下の対策を直ちに講じることが推奨されます。
- パッチが適用されたバージョンがリリースされるまで、一般公開されているすべてのWordPressインストールからプラグインを無効化・削除する。
- 即時の削除が難しい場合は、WAFルールの適用やIPベースの許可リスト設定により、ログインおよびパスワード復旧のエンドポイントへのアクセスを制限する。
- 公式のWordPressプラグインリポジトリでパッチ適用版の公開状況を監視し、速やかに更新を適用する。
- サーバーおよびアクセスログで不審なパスワード復旧の試みを追跡する。
miniOrange OAuth SSOプラグインには、認証関連の脆弱性が発覚した過去の記録があります。2024年12月に開示された以前の認証バイパス(CVE-2024-10111、CVSS 8.1)もその一例です。こうした問題が繰り返し発生していることは、WordPressの認証スタックの中で高い権限を持つ位置を占めるOAuth連携プラグインについて、厳格なセキュリティレビューが必要であることを浮き彫りにしています。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/critical-wordpress-oauth-sso-plugin-flaw/