WordPress「wp2shell」の重大な脆弱性、匿名攻撃者によるリモートコード実行が可能に

WordPressコアに「wp2shell」と名付けられた、認証前に悪用可能な重大なリモートコード実行(RCE)脆弱性が確認されました。

この脆弱性は特別な前提条件を必要とせず、プラグインを一切有効化していない標準的なWordPressインストール環境に対しても、匿名の攻撃者が悪用できます。これにより、推定5億件に上るWordPress運用サイトの相当数が即座に危険にさらされることになります。

Assetnote社のAdam Kues氏が発見したこのバグは、REST APIのバッチルート処理における混同に起因しており、SQLインジェクションを可能にし、最終的には完全なリモートコード実行へとつながります。

この脆弱性の深刻度と認証前という性質を踏まえ、Searchlight Cyber社は技術的な詳細の公開を控えており、概念実証(PoC)が公になる前にサイト運営者がパッチを適用する時間を確保できるよう配慮しています。

管理者が自サイトの危険性を評価できるよう、研究チームはwp2shell[.]comにて一般向けのスキャンツールを公開し、サイト運営者が自身のインストール環境が脆弱かどうかを確認できるようにしました。

この問題を追跡するため、2つのCVE識別子が割り当てられています。CVE-2026-60137(GHSA-fpp7-x2x2-2mjf)は、WP_Queryコンポーネントにおいて容易化されたSQLインジェクション問題を対象としています。

CVE-2026-63030(GHSA-ff9f-jf42-662q)は、重大(Critical)に分類されているにもかかわらずCVSSスコアは7.5となっており、RCEにつながるREST APIバッチルート混同の攻撃チェーンを対象としています。

WordPress側は迅速に対応し、重大な問題と高深刻度の問題の両方を修正するセキュリティリリース7.0.2を公開しました。バックポート修正版も提供されています。

この深刻度の高さから、WordPressチームは、通常はメジャーリリースの自動更新を無効化している環境も含め、影響を受けるバージョンを実行しているサイトに対して強制的な自動更新を有効化しています。

サイト運営者は、WordPressダッシュボード(「更新」>「今すぐ更新」)から、あるいはWordPress.orgからバージョン7.0.2を手動でダウンロードすることで、直ちに更新を行うことが強く求められます。

すぐにパッチを適用できない環境向けに、Searchlight Cyber社は緊急の一時的対策として、REST APIへの匿名アクセスを完全にブロックするプラグインの導入、またはWAFレベルでの/wp-json/batch/v1および?rest_route=/batch/v1のブロックを推奨しています。

これら両方の回避策は正規のREST API利用に支障をきたす可能性があるため、あくまで公式パッチが適用されるまでの応急処置として扱うべきです。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合

翻訳元: https://cyberpress.org/critical-wordpress-wp2shell-flaw/

ソース: cyberpress.org