WordPress Membership プラグインの脆弱性 CVE-2026-1492 が FIX:認証回避と管理者権限窃取

Critical WordPress Plugin Flaw Lets Attackers Bypass Authentication and Gain Admin Access

2026/04/13 CyberSecurityNews — WordPress のプラグイン User Registration & Membership で発見された、深刻なセキュリティ脆弱性 CVE-2026-1492 により、世界中の数千の Web サイトが重大なリスクに直面している。この脆弱性を悪用する攻撃者は、ユーザー名/パスワード/既存アカウントを一切必要とせず、ログイン処理を完全に回避して管理者権限を取得できる。

2026年3月3日に公開された脆弱性 CVE-2026-1492 (CVSS v4.0:9.8:Critical) の影響範囲は、User Registration & Membership プラグインのバージョン 5.1.2 以下となる。この脆弱性の原因は、プラグインのバックエンド処理ロジックにおける認可チェックの弱さと、ユーザー入力の不適切な検証の組み合わせにある。

この攻撃の前提として、特別な権限やユーザー操作は必要とされず、インターネット経由でリモートから実行可能である。この脆弱性は、公開フロントエンドと内部バックエンド間の信頼関係の処理不備に起因すると、CYFIRMA の研究者たちは指摘している。このプラグインは、メンバーシップ関連リクエスト処理において、nonce と呼ばれるセキュリティ・トークンと AJAX ベースのワークフローに依存している。

攻撃が成功した場合の影響は、極めて深刻である。標的となる WordPress サイトの完全な管理者権限を即座に取得する攻撃者は、プラグインのインストール/ユーザーデータの窃取/Web サイト・コンテンツの改竄などに加えて、隠れた管理者アカウントの作成やバックドアの設置を通じて永続的なアクセス権利を確立する。

こうして侵害されたサイトは、フィッシング・ページやマルウェア配布サイトへのリダイレクト基盤として悪用されるため、サイト管理者のみならず、一般の利用者に対しても、直接的なリスクをもたらす。

すでにアンダーグラウンド・フォーラムでは、この脆弱性の悪用手法に関する議論や情報の共有が確認されている。この脆弱性を悪用して管理者アクセスを取得する Initial Access Broker (IAB) は、ランサムウェア展開/認証情報窃取/SEO スパム などの二次攻撃用としてアクセス権を転売する可能性がある。このような活発な関心は、脅威が現実的であることを示しており、管理者には即時対応が求められる。

悪用フローの内部

この攻撃は、脆弱なプラグインのインストールと稼働の確認から開始される。攻撃者は事前にテスト環境を準備して標的に接近した上で、公開されているメンバーシップ料金ページを、バックエンドへの主要な入口として特定する。

Terminal showing Apache and MariaDB status (Source - Cyfirma)
Terminal showing Apache and MariaDB status (Source – Cyfirma)

次のステップとして、ブラウザの開発者ツールを用いて、当該ページの JavaScript を解析し、本来は公開されるべきではない nonce 値および AJAX エンドポイント情報を取得する。続いて、これらの値を用いて細工したペイロードを、 “/wp-admin/admin-ajax.php” エンドポイントへ送信する。その際に、バックエンドが送信元の認可を適切に検証せずにリクエストを処理するため、結果として攻撃者は、有効な認証情報を一切使用することなく管理者としてログインし、そのまま WordPress 管理ダッシュボードへリダイレクトされる。

WordPress Dashboard showing successful login (Source - Cyfirma)
WordPress Dashboard showing successful login (Source – Cyfirma)
対応

管理者にとって最も重要なことは、User Registration & Membership プラグインを、修正済みのバージョン 5.1.3 へと速やかに更新することだ。その上で、すべての管理者アカウントを精査して、不正に作成されたアカウントを削除し、不審なセッションの無効化および不明な認証情報の即時リセットを実施する必要がある。

ユーザー組織にとって必要なことは、すべてのユーザー入力に対してサーバ側で厳格な検証を実施し、ロール割り当てに関わる値を慎重に扱うことだ。その他に、”/wp-admin/admin-ajax.php” のような重要エンドポイントへのアクセス制御を強化し、内部セキュリティ・トークンを公開ページに露出させないように徹底する必要がある。

これに加えて、すべてのユーザー・ロールに対して最小権限の原則を適用し、異常な AJAX リクエストや不正な権限昇格に対する、継続的な監視体制の構築が必要となる。

訳者後書:この脆弱性 CVE-2026-1492 の原因は、ユーザーが入力した情報のチェックが不十分だったことや、本来は管理者しか実行できない処理を、誰でも動かせる状態になっていた点にあります。Web サイトの表側で使われるセキュリティ用の合言葉が、誰もが見える場所に置かれていたことも、問題を広げる一因となりました。これにより、攻撃者は正しい手続きを踏まずに裏口から入り込めるようになっていました。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。