7.0.2版のWordPressセキュリティリリースでは、深刻度クリティカル1件と高深刻度1件のセキュリティ問題が修正されました。

WordPressセキュリティチームに報告された脆弱性は以下の通りです。
- CVE-2026-60137 – TF1T、dtro、haongoのチームによって報告された、間接的に発生するSQLインジェクションの問題
- CVE-2026-60137 – Assetnote / Searchlight CyberのAdam Kues氏によって報告された、REST APIのバッチルートの混同に起因するSQLインジェクションからリモートコード実行(RCE)に至る問題
影響を受けるWordPressのバージョンは?
- WordPress 6.9は両方の脆弱性の影響を受けます。両方を修正したバージョン6.9.5がリリース済みです。
- WordPress 6.8は1つ目の脆弱性のみの影響を受けます。修正済みのバージョン6.8.6がリリース済みです。
- WordPress 7.1のベータ版は両方の脆弱性の影響を受けます。両方を修正したバージョン7.1 beta2がリリース済みです。
6.8より前のバージョンのWordPressは影響を受けません。
緊急の一時的な緩和策
アップデートがすぐに行えない場合、Searchlight Cyberのセキュリティ研究者は、バッチAPIへの匿名アクセスをブロックすることで、一時的にインスタンスを保護できると指摘しています。具体的には以下のいずれかの方法があります。
- REST APIへの匿名アクセスを完全にブロックするプラグインを導入する。または
- WAFレベルで
/wp-json/batch/v1および?rest_route=/batch/v1をブロックする。
これらの対策はいずれもサイトの正当な利用に影響を及ぼす可能性があるため、アップデートを適用するまでの緊急的な一時措置としてのみ検討すべき点にご注意ください。
ソース: helpnetsecurity.com