Critical WordPress Plugin Flaw Allows Unauthorized Access to Websites
2026/05/14 gbhackers — 広く使用されている WordPress プラグインにおける重大な脆弱性 CVE-2026-8181 (CVSS 9.8) により、20万以上の Web サイトが乗っ取りの危険にさらされており、セキュリティ・コミュニティ全体で緊急の懸念が高まっている。AI 駆動の PRISM プラットフォームを用いる Wordfence のセキュリティ研究者が、プライバシーのための分析ツール Burst Statistics プラグインの深刻な認証バイパスの脆弱性を発見した。この脆弱性を悪用する攻撃者は、正当な認証情報を必要とせずに管理者レベルのアクセスを取得できる。
WordPress プラグイン脆弱性
この脆弱性が影響を及ぼす範囲は、2026年4月23日にリリースされた Plugin Version 3.4.0 から 3.4.1.1 までとなる。このバージョンに問題が発見された 15日後に、ベンダーによる修正が適用された。この事例が示すのは、AI 支援型の研究により脆弱性発見までの時間が短縮されていることである。
この脆弱性は、MainWP との統合における認証結果の検証の不備に起因する。具体的には、認証情報検証を行う関数が、WordPress の application password 認証システムの戻り値を正しく処理していない点に問題がある。
このプラグインは、認証成功を確認する代わりに、null を含む非エラー応答を有効と誤認する。この欠陥を突く未認証の攻撃者は、既知の管理者ユーザー名と任意のパスワードを用いて悪意の HTTP リクエストを生成できる。
Authorization ヘッダを悪用する攻撃者は、細工したリクエストを WordPress REST API エンドポイントへ送信することで、リクエスト期間中に管理者を偽装できる。
最悪の場合、攻撃者は “/wp-json/wp/v2/users” などのエンドポイントへリクエストを送信し、新たな管理者アカウントを作成できる。これによりログイン操作を必要とせずに、Web サイトの永続的支配が可能となる。
この攻撃は、ブルートフォースや認証情報の窃取を必要とせず、有効な管理者ユーザー名の知識のみで成立する。これにより、攻撃ハードルは大幅に低下し、大規模スキャンおよび自動化攻撃の可能性が高まる。
Wordfence は 2026年5月8日の時点で、プレミアム・ユーザー向けにファイアウォール・ルールを即時配布した。無償ユーザーへの保護は、2026年6月7日以降に提供の予定である。
その一方で開発者は、2026年5月11日の開示後に迅速に対応し、2026年5月12日の時点で完全な修正版 version 3.4.2 を公開した。この修正により、認証済み WordPress ユーザー・オブジェクトのみがアクセスを許可されるようになった。
認証バイパス脆弱性は、Web アプリケーションの信頼モデルを根本から破壊するため、きわめて危険である。この侵害は、正当な認証を持たない攻撃者に対して、管理者権限を与え得るものだ。
Burst Statistics を使用する Web サイト管理者にとって必要なことは、Version 3.4.2 以降へと速やかにアップデートすることだ。パッチ適用が遅延すると、悪用/データ侵害/Web サイトに対する完全な侵害のリスクが高まる。
攻撃の容易性および影響範囲の広さから、今後の数週間で CVE-2026-8181 が狙われる可能性が高い。
訳者後書:WordPress のプラグイン Burst Statistics で見つかった、認証バイパスの脆弱性について解説する記事です。問題の原因は、他のシステムとの統合機能において、認証結果の検証処理に不備があったことにあります。具体的には、認証関数がエラーではない応答 (null など) を受け取った際、それを正しい認証成功と誤認してしまう設計になっていました。この CVE-2026-8181 を悪用する攻撃者は、管理者のユーザー名さえ分かれば、REST API 経由で管理者になりすますことが可能です。最悪の場合、新しい管理者アカウントが作成され、Web サイトの完全な権限が奪われる可能性があるため、注意が必要です。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.