WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り

20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access

2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS:9.8:Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。

LA-Studio Element Kit は、ユーザー登録時のロール割り当てを適切に制限していないため、攻撃者は “lakit_bkrole” パラメータを悪用して、自身に管理者権限を付与できる。また、悪意あるコードの意図的な難読化が可能であるため、意図的な隠蔽が起こり得る。

影響を受けるバージョンは、このプラグインの初期リリースから 1.5.6.3 までに及ぶ。管理者アクセスを取得した攻撃者は、悪意のプラグインやテーマのアップロードに加えて、Web サイト・コンテンツの改変/スパムの挿入/フィッシング・サイトへのリダイレクトが可能となる。

この攻撃は認証を必要としないため、未パッチ環境にとって極めて危険な状況が生じている。

内部脅威の帰属

調査の結果として、2025年12月末に LA-Studio を離職した元従業員が、意図的にバックドア・コードを注入していたという、深刻な状況が明らかになった。

この脆弱性は、LA-Studio_Kit_Integration クラス内の ajax_register_handle 関数に存在する。

Technical Analysis ( Source : Wordfence).
Technical Analysis ( Source : Wordfence).

このインサイダー脅威が浮き彫りにするのは、コード・レビュー・プロセス/開発者監視・従業員オフボーディングにおける重大な欠陥である。ユーザー組織にとって必要なことは、開発者アカウントを終了する前に、厳格なアクセス制御およびコード監査を実施することだ。

2026年1月12日に Wordfence Bug Bounty Program を通じて、この脆弱性は責任ある形で報告された。Wordfence は 24 時間以内にエクスプロイトを検証し、直ちに Vulnerability Management Portal を通じて LA-Studio に通知した。

LA-Studio は報告を確認して迅速に対応したうえで、2026年1月14日に修正済みバージョン 1.6.0 を公開した。対応までに要した期間はわずか 1 日である。

セキュリティ研究者 Athiwat Tiprasaharn/Itthidej Aramsri/Waris Damkham は、この問題の発見により $975 の報奨金を獲得しており、協調的な脆弱性研究の価値を示すことになった。

防御とパッチ適用の戦略

2026年1月13日の時点で、Wordfence Premium/Care/Response のユーザーはファイアウォール保護を受けている。無償版 Wordfence ユーザーは、2026年2月12日に同等の保護が提供されるが、有料ユーザーと比べて 30 日間遅れとなる。

この段階的な保護モデルは、プレミアム・サブスクリプションを促進しながら、広範なユーザー・ベースを保護するためのものだ。

LA-Studio Element Kit for Elementor を使用している、すべての WordPress サイト管理者にといって必要なことは、バージョン 1.6.0 への速やかな更新である。

この脆弱性は、高い深刻度と容易な悪用から、完全なサイト乗っ取りに至る可能性があるため、迅速なパッチ適用が不可欠である。管理者は、プラグイン・バージョンを確認し、遅滞なく更新を適用すべきである。

このインシデントは、WordPress セキュリティにおける脅威状況の進化を示している。人気プラグインを標的としたインサイダー脅威は、数万のサイトに影響を及ぼし得る。

ユーザー組織においても、コード・レビュー・プロセス/開発者監視/アクセス剥奪手順/定期的なセキュリティ監査などの、多層的なセキュリティ対策を実装すべきである。

WordPress サイト運営者は、本アドバイザリを影響を受けるプラグインを使用している関係者と情報を共有すべきである。さらに、セキュリティ・プラグインやマネージド・セキュリティ・サービスを通じた、包括的な脆弱性監視の実施が強く推奨される。

WordPress の人気プラグイン Elementor のエクステンション LA-Studio Element Kit において、システムの完全な乗っ取りを許す可能性のある、きわめて深刻な脆弱性 CVE-2026-0920 が発見されました。この問題で特筆すべきは、外部からの攻撃が起こり得るという点だけではなく、開発元の元従業員により意図的にバックドアが仕込まれていたというインサイダー脅威にあります。

この脆弱性は、ユーザー登録時の権限割り当て処理の不備に起因します。それを悪用する攻撃者は、登録リクエストに特定のパラメータ “lakit_bkrole” を取り込むだけで、本来は一般ユーザーとして登録されるはずの自分自身に、サイトの管理者権限を付与できてしまいます。ご利用のチームは、ご注意ください。よろしければ、Elementor での検索結果も、ご参照ください。