TokyoBlackHatNews

esecurityplanet.com 4分で読了

プラグイン管理者バックドアにより2万のWordPressサイトが危険にさらされる

WordPressプラグインの欠陥により、攻撃者がログインせずに管理者アカウントを作成でき、数千のWebサイトが完全侵害まであと一歩の状態に置かれます。 

この問題は、アクティブインストール数が2万以上のLA-Studio Element Kit for Elementorプラグインに影響し、隠されたバックドアを通じて認証なしで管理者ユーザーを作成できるようにします。

「攻撃者がWordPressサイトの管理者ユーザーアクセスを獲得すると、通常の管理者と同様に標的サイト上のあらゆるものを操作できるようになります」と、Wordfenceはアドバイザリで述べています

CVE-2026-0920の仕組み

CVE-2026-0920として追跡されているこの脆弱性には、CVSSスコア9.8が割り当てられています。

研究者は、この欠陥をプラグインのユーザー登録ワークフロー、具体的にはajax_register_handle関数内に特定しました。 

そこで、通常の登録コードに見せかけつつ、密かに隠しリクエストパラメータlakit_bkroleの有無を確認する、難読化されたバックドアロジックを発見しました。

攻撃者がそのパラメータを含む特別に細工した登録リクエストを送信すると、プラグインは新規作成されたアカウントに管理者権限を付与する追加フィルタを静かに発動します。 

実質的には、通常の「ユーザー作成」操作が、認証なしの権限昇格経路へと変わり、有効な認証情報を必要とせずに攻撃者がWordPressダッシュボードを完全に制御できるようになります。

管理者アクセスを得ると、攻撃者はアカウント作成から完全侵害へと迅速に移行できます。 

脅威アクターによる後続の行動には、悪意のあるプラグインやWebシェルのインストール、マルウェア配布のためのサイトコンテンツ改ざん、訪問者のフィッシングページへのリダイレクト、トラフィックの収益化や検索順位操作を目的としたSEOスパムの注入などが含まれます。 

攻撃者はさらに、追加の管理者アカウントを作成したり、自動タスクをスケジュールしたり、設定変更を行ったりすることで、長期的な永続化を確立することもできます。

Wordfenceは、このバックドアが文字列操作や間接的な関数呼び出しといった難読化手法によって意図的に隠されていたと指摘しました。 

この手法により、通常のレビューでは悪意のある挙動を見つけにくくなり、正当な登録処理に紛れ込ませることができます。

LA-Studioはこの脆弱性に対するパッチをリリースしており、Wordfenceも悪用から保護するためのファイアウォールルールを同社側で公開しています。

影響範囲(ブラスト半径)を抑えるためのセキュリティ対策

組織でWordPressを運用している場合、この脆弱性には迅速かつ体系的に対処する価値があります。 

この問題は不正な管理者アカウント作成を許す可能性があるため、修正対応はアップデート適用だけにとどめるべきではありません。 

  • パッチ適用として、LA-Studio Element Kit for Elementorをバージョン1.6.0以降へ直ちにアップグレードする。
  • WordPressユーザーを監査して不正な管理者アカウントがないか確認し、疑わしい、または想定外の管理者を削除する。
  • 最近のプラグイン/テーマのインストール、ファイル変更(wp-config.php.htaccess)、cronジョブ、wp-content内のアップロードを確認して、永続化の痕跡を調査する。
  • 認証情報をローテーションし、MFAを強制し、最小権限と限定的な管理者アカウント運用により特権アクセスを削減する。
  • IP許可リストVPNアクセス、または追加の認証制御を用いて、wp-adminおよびwp-login.phpへのアクセスを制限する。
  • 集中ログと監視を有効化し、異常な登録リクエスト、管理者ロール変更、不審な外向きトラフィックを検知する。
  • バックアップを検証し、インシデント対応計画(WordPress侵害時の復元およびロールバック手順を含む)を定期的にテストする。

これらの手順は、パッチ適用、アカウントレビュー、基本的な整合性チェックを組み合わせ、サイトが改変されていないことを確認するためのものです。 

プラグインのセキュリティはサイトのセキュリティ

WordPressとサードパーティ製プラグインに依存する組織にとって、CVE-2026-0920は、単一の侵害されたコンポーネントが迅速にサイト全体のセキュリティ問題へ発展し得ることを思い起こさせます。

プラグイン更新を単なる定期メンテナンスではなく、全体的なセキュリティ態勢の一部として扱い、展開前後で変更内容を検証してください。  

このような脆弱性は、いずれかのコンポーネントが侵害された場合でも影響範囲(ブラスト半径)を抑えるために、組織がゼロトラストアプローチを採用している理由を改めて示しています。

翻訳元: https://www.esecurityplanet.com/threats/20000-wordpress-sites-at-risk-from-plugin-admin-backdoor/

ソース: esecurityplanet.com
#CVE-2026-0920 #Elementor #LA-Studio Element Kit #Wordfence #WordPress #バックドア #パッチ適用・セキュリティ対策 #プラグイン脆弱性 #権限昇格 #管理者アカウント不正作成

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布