WordPress Membership Plugin Vulnerability Let Attackers Create Admin Accounts
2026/03/06 CyberSecurityNews — WordPress 用 User Registration & Membership プラグインに存在する、セキュリティ脆弱性 CVE-2026-1492 (CVSS:9.8:Critical) が、研究者 Foxyyy により発見された。この脆弱性を悪用する未認証の攻撃者は、セキュリティ制御を回避して管理者アカウントを作成できるため、結果として Web サイトが完全に乗っ取られる。User Registration & Membership プラグインは、カスタムな登録フォームの作成と、ユーザー・プロファイル管理を支援するものだ。
この脆弱性 CVE-2026-1492 は、バージョン 5.1.2 以下の深刻な権限管理の不備に起因する。このプラグインは、新規ユーザーの登録時において、ユーザーが提供するロールを受け入れるが、サーバ側で許可リスト検証を実施していない。
要求されたロールに対する許可が検証されないため、攻撃者は管理者としての登録リクエストを送信できる。この欠陥により、攻撃者は事前の認証を必要とせずに、WordPress サイトを完全に制御できる。侵入後の攻撃者は、機密ユーザーデータの窃取/Web サイト内容の改竄/悪意のバックドア設置などを引き起こせる。
すでに、この脆弱性の実環境での悪用試行が検出されており、過去 24 時間で 74 件の攻撃がブロックされている。最近、このプラグインでは複数のセキュリティ問題が確認されている。たとえば、バージョン 5.1.2 は、認証バイパスの脆弱性 CVE-2026-1779 の影響も受ける。この脆弱性を悪用する攻撃者は、ログイン機構を完全に回避できる。
緩和策と修復
すでにベンダーは、修正版をリリースし、登録時に割り当てが可能なロールを制限している。この修正により、特権ロール・リクエストが遮断され、権限昇格の攻撃が防止される。管理者にとって必要なことは、迅速な対応である。
Wordfence によると、この脆弱性は 2026年3月2日に公開され、3月3日に更新された。すべてのユーザーは、バージョン 5.1.3 以上へ向けて速やかにアップデートすべきである。さらに、既存ユーザー・アカウントのアクセス・レビューを実施し、不正な管理者プロファイルの監査を実施すべきである。
登録エンドポイントに対するトラフィック監視を導入し、不審な活動や異常ロール・リクエストを検出することが推奨される。
この脆弱性は、ログイン不要での悪用を攻撃者に対して許すため、アップデートを放置するサイトは、不正な管理者アカウント作成のリスクに晒され続ける。
最新のセキュリティ・アップデート適用が、登録フォームの保護と不正アクセスの防止のための最良の対策である。
WordPress で広く利用されている User Registration & Membership プラグインに、ログイン不要で管理者権限を奪取できる、きわめて深刻な脆弱性 CVE-2026-1492 (CVSS 9.8) が発見されました。この問題の原因は、ユーザー登録の機能を実行する際に、ユーザー側が指定した権限グループを、サーバ側で正しく検証せずに受け入れるところにあります。通常、会員サイトの登録フォームでは、新規ユーザーには購読者などの低権限が自動で割り当てられるべきです。しかし、この脆弱なバージョンでは、攻撃者が登録リクエストの中に “管理者” という情報を紛れ込ませるだけで、それを鵜呑みにするプラグインが管理者アカウントを作成してしまいます。すでに実環境での悪用も確認されており、極めて危険な状態です。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.