WordPress Coreに新たに開示された事前認証リモートコード実行(RCE)の脆弱性は「wp2shell」と呼ばれ、認証を一切必要とせず、プラグインを一切導入していない標準的なWordPressインストール環境にも影響します。WordPressは全世界で推定5億のウェブサイトを支えていることを踏まえると、影響範囲は極めて広いといえます。
この脆弱性は、近年のCMSセキュリティ開示の中でも特に重大なものの一つに位置づけられます。問題の根本原因は、REST APIのバッチルート処理における混同とSQLインジェクションの脆弱性が組み合わさり、両者が連携することで完全なRCEを可能にしている点にあります。
Securityawareness training
WordPress Coreの深刻な脆弱性
この脆弱性を発見・報告したのは、Assetnoteの研究者Adam Kues氏で、現在はCVE-2026-63030(GHSA-ff9f-jf42-662q)として採番されています。またTF1T氏、dtro氏、haongo氏によって報告された関連のSQLインジェクションの問題には、CVE-2026-60137(GHSA-fpp7-x2x2-2mjf)が割り当てられています。
この脆弱性の悪用には前提条件も有効な認証情報も一切必要としないため、匿名の攻撃者であっても、脆弱なサイトを初期状態のまま侵害できてしまいます。
サイト管理者にパッチ適用の猶予を与えるため、Searchlight Cyberは技術的な攻略の詳細を非公開としていますが、代わりにwp2shell[.]comで公開スキャナーを提供しており、管理者は高度な技術知識がなくても自サイトの露出状況を確認できます。
影響を受けるバージョン
- WordPress 6.8.5以下: RCEの攻撃チェーンによる影響は受けない(6.8.xはCVE-2026-60137のみ影響)。
- WordPress 6.9.0〜6.9.4: 両方の脆弱性の影響を受ける。
- WordPress 7.0.0〜7.0.1: 両方の脆弱性の影響を受ける。
- WordPress 7.1のベータリリース: 影響を受ける。7.1 beta2で修正済み。
パッチと緩和策
WordPressのセキュリティチームはバージョン7.0.2をリリースし、深刻度がクリティカルの問題1件と、深刻度が高の問題1件に対処しました。バックポート版として6.9.5と6.8.6も提供されています。
このRCEの深刻さを踏まえ、WordPressは影響を受けるバージョンを稼働しているサイトに対して強制自動更新を有効化していますが、管理者には手動での更新確認も強く推奨されています。
サイト管理者は、WordPressダッシュボードの「更新」→「今すぐ更新」から、あるいはWordPress.orgから直接リリース版をダウンロードして更新できます。
すぐにパッチを適用できない環境向けに、Searchlight Cyberは以下の一時的な緩和策を推奨しています。
- REST APIへの匿名アクセスを完全にブロックするプラグインを導入する
- WAFのレベルで
/wp-json/batch/v1および?rest_route=/batch/v1をブロックする
これらの対策は正規のREST API機能を阻害する可能性があるため、完全な更新を適用するまでの緊急的な一時しのぎとして扱うべきです。
脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをSOCに統合する こちらから今すぐ。
翻訳元: https://gbhackers.com/critical-wordpress-core-flaw/