WordPress Plugin Vulnerability Exposes 500,000+ Websites to Privilege Escalation Attacks
2026/06/03 CyberSecurityNews — 広く使用されている Kirki WordPress プラグインに存在するセキュリティ脆弱性 CVE-2026-8206 (CVSS 9.8) により、50万以上の Web サイトがアカウント乗っ取り攻撃のリスクにさらされている。研究者によると、Kirki プラグインのバージョン 6.0.0 〜 6.0.6 に影響を及ぼすものであり、現在も多くのサイトが脆弱な状態にあるという。この脆弱性を悪用する未認証の攻撃者は、欠陥のあるパスワード・リセット機能を介して権限昇格を行い、最終的に管理者アカウントの完全な侵害に至る。
セキュリティ研究者の Choigyeongmin が、Wordfence Bug Bounty Program を通じてこの脆弱性を報告し、$6,436 の報奨金が支払われた。これを受けた Wordfence は、2026年5月8日に問題を検証し、翌日の 9日には Premium ユーザー向けのファイアウォール保護を展開している。
WordPress プラグインの脆弱性が Web サイトを露出
Kirki は WordPress の Customizer エクステンションおよびページ構築に使用される人気プラグインであり、パスワード・リセット要求を処理する REST API エンドポイントを公開している。
この脆弱性は、handle_forgot_password() 関数に存在し、リセット処理中にユーザー入力が不適切に信頼されることに起因するものである。本来の安全な実装であれば、パスワード・リセット・リクエストは、対象ユーザー・アカウントに関連付けられたメールアドレスだけにリセット・リンクを送信すべきである。
しかし、脆弱なバージョンでは、プラグインがユーザー名とメールアドレスの両方のパラメータを受け入れる一方で、それらの関連性を検証していない。したがって、有効なユーザー名が指定された場合にユーザー・アカウントは正しく識別されるが、リクエスト内で指定された、攻撃者が管理するメールアドレスが使用され続ける。
このロジックの欠陥により単純な攻撃シナリオが成立するため、管理者などの正当なユーザー名と自身が管理する任意のメールアドレスを組み合わせた、攻撃者によるパスワード・リセット・リクエストが成立する。その結果、プラグインは有効なリセット・トークンを生成して、攻撃者のメールアドレスへ送信してしまう。
攻撃者はリセット・リンクを悪用して新しいパスワードを設定し、アカウントへの不正アクセスを取得できる。この悪用に成功した場合には、サイト全体が侵害されてしまう。その結果として、悪意のプラグインのインストール/バックドアの埋め込み/不正な管理者アカウントの作成/永続的な Webシェルの配置といった、権限昇格や永続化に関連する一般的な攻撃後の手法が実行される可能性がある。
Wordfence は 2026年5月15日の時点で、この脆弱性を Themeum に報告し、その 3日後に修正パッチである バージョン 6.0.7 がリリースされている。Webサイト管理者に強く求められるのは、Kirki プラグインを直ちにバージョン 6.0.7 以降へとアップグレードする緊急性の高い対策である。
追加の防御策として、Wordfence のファイアウォール・ルールを適用する手段もある。すでに Premium ユーザーは保護されているが、 Free ユーザー向けの保護については、2026年6月8日に提供される予定となっている。
悪用の容易さと影響範囲の大きさを踏まえると、この脆弱性は WordPress 環境に対する深刻なリスクである。特にユーザー列挙が可能な環境や、一般公開されたログイン機能を備える環境では危険性が高いため、侵害を防ぐためには迅速なパッチ適用が必要となる。それに加えて、不審なパスワード・リセット活動の監視が不可欠である。
訳者後書:Kirki プラグインの脆弱性 CVE-2026-8206 は、 パスワード・リセット時に入力されたユーザー名とメールアドレスの関連性を、システム側で正しく検証していなかったロジックの欠陥が原因です。有効なユーザー名さえ一致すれば、リクエストに記載された攻撃者側のメールアドレスへと、リセット用のトークンが送信されてしまうという問題です。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.