WordPress Coreに影響を及ぼす深刻なリモートコード実行(RCE)脆弱性「wp2shell」を悪用する公開エクスプロイトが公開され、管理者は直ちにサイトへパッチを適用する必要に迫られています。
wp2shell攻撃は、CVE-2026-63030とCVE-2026-60137として追跡されている2つの脆弱性で構成されており、これらを連鎖させることで、WordPress 6.9.x系および7.0.x系のインストール環境に対して認証前のリモートコード実行が可能になります。
これらの脆弱性はSearchlight CyberのAdam Kues氏によって発見されました。同社によれば、未認証の攻撃者はデフォルト設定のWordPressインストール環境に対してこれらを悪用できるとのことです。
「Searchlight Cyberのセキュリティ研究チームは、WordPress Coreにおける認証前RCE脆弱性を発見しました」とSearchlight Cyberは説明しています。
「この攻撃には前提条件が一切なく、プラグインを一切導入していない標準的なWordPressインストール環境に対しても、匿名ユーザーが悪用可能です」
Searchlight Cyberの推計では、5億以上のウェブサイトがWordPressを使用しているとのことで、この脆弱性がもたらす影響は甚大なものになる可能性があります。特に、概念実証(PoC)エクスプロイトが既に公開されている現状ではなおさらです。
これらの脆弱性の深刻さを踏まえ、WordPressセキュリティチームは、影響を受けるバージョンを稼働しているサポート対象インストール環境に対して強制自動セキュリティアップデートを有効化し、サイト運営者に対してWordPress 7.0.2または6.9.5への即時アップデートを呼びかけています。
「これはセキュリティリリースであるため、サイトを直ちにアップデートすることを推奨します」とWordPressはセキュリティ告知で述べています。
「深刻度を踏まえ、WordPress.orgチームは、影響を受けるバージョンを稼働しているサイトに対して自動アップデートシステムによる強制アップデートを有効化しました」
この問題は単一の脆弱性ではなく、組み合わせることで未認証のリモートコード実行チェーンとなる、2つの独立した脆弱性によるものです。
1つ目の脆弱性であるCVE-2026-63030は、WordPress 6.9で導入されたREST APIのバッチルート混同脆弱性です。GitHubのアドバイザリによれば、この脆弱性はSQLインジェクション問題と組み合わせることでリモートコード実行を達成できるとされています。
2つ目の脆弱性であるCVE-2026-60137は、’WP_Query‘の’author__not_in‘パラメータにおけるSQLインジェクション脆弱性です。WordPressはこれを、WordPress 6.8以降に影響を及ぼす深刻度の高いSQLインジェクション脆弱性としています。
WordPressのアドバイザリによれば、完全なRCEチェーンはWordPress 6.9.0から6.9.4、およびWordPress 7.0.0から7.0.1に影響します。
SQLインジェクション脆弱性自体はWordPress 6.8.0から6.8.5にも影響しますが、REST APIのバッチルート混同バグはWordPress 6.9で追加されたものであるため、これらのバージョンではリモートコード実行に連鎖させることはできません。
wp2shell攻撃チェーン全体は、WordPress 6.9.5および7.0.2で修正済みです。
Searchlight Cyberは現在、管理者にパッチ適用のための時間を与えるため技術的詳細の公開を控えており、代わりにwp2shell.comサイトを開設しました。このサイトでは、管理者が自身のWordPressインストール環境が脆弱かどうかをテストできます。
直ちにアップデートできない組織に対して、Searchlight Cyberは以下を推奨しています。
- REST APIへの匿名アクセスを完全にブロックするプラグインの導入
- WAFレベルでの
/wp-json/batch/v1および?rest_route=/batch/v1のブロック
同社は、これらの緩和策はシステムをアップデートできるまでの一時的な措置としてのみ使用すべきであると警告しています。
Cloudflareも、無料アカウントを含む全プランにおいて、同社のプラットフォーム経由でプロキシされているサイトに対し、両脆弱性に対応するWebアプリケーションファイアウォール(WAF)保護を展開したと発表しました。
Cloudflareによれば、これらのルールはSQLインジェクション脆弱性(CVE-2026-60137)とREST APIバッチルート混同脆弱性(CVE-2026-63030)の両方の悪用を試みる攻撃をブロックします。
「WAF保護は、顧客がアップデートを行う間の露出リスクを低減しますが、パッチ適用の代替にはなりません」とCloudflareは述べています。
公開PoCエクスプロイトの登場
Searchlight Cyberは管理者にパッチ適用の時間を与えるため技術的詳細の公開を遅らせていましたが、その後GitHub上で複数の公開概念実証(PoC)エクスプロイトが公開されました。
一部の公開エクスプロイトは、2つの脆弱性を組み合わせてSQLインジェクション経由でWordPressのパスワードハッシュを抽出し、その後管理者パスワードをクラックしてログインし、悪意のあるプラグインをアップロードしてコマンドを実行するというものです。
一方で、管理者権限を必要とせずに認証前のリモートコード実行を達成できると主張する概念実証エクスプロイトも存在し、こちらはSearchlight Cyberによる脆弱性の説明により近いものとなっています。
BleepingComputerはSearchlight Cyberに対し、同社の攻撃チェーンが管理者パスワードを必要としないかどうかの確認を求めて連絡を取っています。
セキュリティ企業watchTowrによれば、公開エクスプロイトが登場して以降、実際の悪用が既に確認されているとのことです。
「WordPressはセキュリティ面で悪評を買いがちです。しかし実際のところ、WordPress Coreにおいて影響が甚大かつ未認証で悪用可能なSQLインジェクションやリモートコード実行の脆弱性は、実はかなり珍しいものです」と、watchTowrのCEOであるBenjamin Harris氏はBleepingComputerに対しメールで語りました。
「だからこそ今回の件は異例であり、大規模な悪用が本格化する前にパッチを適用しようと誰もが慌てているのです。watchTowrのチームはすでにPoCエクスプロイトの流通を確認しており、実際の悪用の兆候も出始めています」
公開概念実証エクスプロイトが出回っていること、そして実際の悪用の兆候が最初に報告されていることを踏まえ、管理者はできるだけ早くサイトをWordPress 7.0.2または6.9.5にアップデートしておくべきです。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃の成功事例はわずか54%、アラートが発報されるのはたった14%に過ぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の見逃しを防ぐかを解説しています。