トップ/記事一覧/【2026年7月11日】セキュリティ脆弱性まとめ ― WordPressプラグイン7件で管理者乗っ取りが連鎖、一般利用者への影響は
cve-digest-2026-07-11-cover-ja

【2026年7月11日】セキュリティ脆弱性まとめ ― WordPressプラグイン7件で管理者乗っ取りが連鎖、一般利用者への影響は

2026年7月11日に公開された脆弱性のうち、個別速報にしなかったものを一日分まとめました。WordPressプラグイン7件で『会員や投稿者のアカウント1つから管理者を乗っ取る』欠陥が連鎖し、利用者200万超のElementor拡張も対象です。ログインの要否で自分に関係するかを判定でき、一般利用者が今すぐ動くべきものも解説します。

ニュース2026年7月11日公開 本日更新
目次
この記事のポイント

2026年7月11日に公開された脆弱性のうち、個別速報にしなかったものを一日分まとめました。WordPressプラグイン7件で『会員や投稿者のアカウント1つから管理者を乗っ取る』欠陥が連鎖し、利用者200万超のElementor拡張も対象です。ログインの要否で自分に関係するかを判定でき、一般利用者が今すぐ動くべきものも解説します。

2026年7月11日に世界の脆弱性データベース(NVD)や日本のJVNで公開された脆弱性のうち、当サイトが単独の速報記事にしなかったものを、この記事で一日分まとめて整理します。この日いちばん目立ったのは、WordPressサイトに機能を足す拡張機能(プラグイン)で「会員や投稿者のアカウント1つを起点に、管理者になりすます」種類の欠陥が7件も続いたことです。中には、世界で200万サイト以上が使う超大型プラグインも含まれます。自分のサイトや、自分が使っている製品が含まれていないか、ここで確認してください。

なお、同じ7月11日に見つかった脆弱性のうち、影響が広く「今すぐ更新すべき」と判断したものは、それぞれ単独の記事にしています。ログイン不要で管理者を奪われるWordPressのログイン連携プラグイン「miniOrange」2種の乗っ取り(CVE-2026-12761ほか/危険度9.8)、実際に攻撃されているJoomlaの人気拡張2種の乗っ取り、不正なプロジェクトを開くだけで危ない開発ソフト「IntelliJ IDEA」の脆弱性(CVE-2026-59792)などがそれにあたります。以下は、それ以外の「条件つきで危険」な脆弱性を、目立った順にまとめたものです。前日分は7月10日のセキュリティ脆弱性まとめにあります。

本日、個別記事にした「今すぐ確認すべき」重大案件

まず、この日のうちに単独記事として詳しく扱った、影響の大きい案件をまとめておきます。自分が使っているものがあれば、それぞれの記事で対処法を確認してください。

この日の目玉。WordPressプラグイン7件で「会員アカウントから管理者乗っ取り」が連鎖

7月11日は、WordPress向けの拡張機能(プラグイン)で、危険度8.8の欠陥がまとめて7件公開されました。7件はバラバラの製品ですが、狙いどころがそっくりです。いずれも「本来は権限の低い利用者(サイトの会員=購読者や、記事の投稿者・寄稿者)が持つアカウント1つを足がかりに、そのサイトの管理者になりすます、あるいはサーバー上でプログラムを実行する」という同じ構図でした。同じ日にこれだけ同種の欠陥が並ぶのは珍しく、狙われる条件も共通しているため、まとめて注意を促します。

最初に押さえておきたい前提があります。ここに挙げる7件は、いずれも「攻撃者がそのサイトに何らかのログイン用アカウントを持っている」ことが条件です。ログイン不要でいきなり乗っ取られる、この日別記事にしたminiOrangeの脆弱性(無認証=即死級)とは、その点で危険度の質が違います。とはいえ、だれでも会員登録できるように開放しているサイトや、外部ライターに投稿者・寄稿者アカウントを配っているサイトでは、攻撃者はそのアカウントを正規に取得できてしまいます。「無認証は即死、認証必須も油断禁物」という二段構えで見てください。危険度は10点満点です。

CVE番号プラグイン何が起きる危険度必要なアカウント状態
CVE-2026-15155Essential Addons
for Elementor
管理者
乗っ取り
8.8寄稿者以上悪用報告なし
CVE-2026-13353WP Ultimate
CSV Importer
プログラム
実行
8.8購読者以上悪用報告なし
CVE-2026-13756WP Grid Builder権限昇格
(管理者化)
8.8購読者以上悪用報告なし
CVE-2026-14262Simple JWT Login権限昇格
(管理者化)
8.8購読者以上悪用報告なし
CVE-2026-2354Swiss Toolkit
For WP
危険なファイル
アップロード
8.8投稿者以上悪用報告なし
CVE-2025-6784Code Engine命令の注入
→プログラム実行
8.8寄稿者以上悪用報告なし
CVE-2026-1359Genolve権限昇格
(管理者化)
8.8寄稿者以上悪用報告なし

CVE-2026-15155: 200万サイトが使う「Essential Addons for Elementor」で管理者乗っ取り

7件の中でいちばん影響範囲が広いのがこれです。Essential Addons for Elementorは、サイト作成ツール「Elementor」に便利な部品を追加する拡張機能で、WordPress公式ディレクトリで200万サイト以上が利用する超大型プラグインです。今回の欠陥(バージョン6.6.10以前)は、メール送信時の入力チェックが甘く、改行コード(CR/LF)を取り除いていなかったことに原因があります。これを悪用すると、管理者宛てのパスワード再設定メールにこっそり「Bcc(隠し宛先)」を差し込み、再設定用のリンクを攻撃者にも届かせて、管理者アカウントを奪えます(メールヘッダインジェクションと呼ばれる手口)。危険度は8.8。ただし悪用には寄稿者以上のアカウントが必要で、いま時点で実際の攻撃は報告されていません。数百万サイト規模ゆえ影響は大きく、利用している場合は最新版への更新を最優先で確認してください。

残る6件: 「会員・投稿者アカウント」から管理者化・プログラム実行

残りの6件も、経路は違っても行き着く先は同じ「サイト全権の掌握」です。WP Ultimate CSV Importer(CSVやExcelからデータを取り込むツール、〜8.0.1、CVE-2026-13353)は、権限の確認漏れで悪意あるPHPプログラムを実行できます。WP Grid Builder(一覧表示や絞り込みを作るツール、〜2.3.3、CVE-2026-13756)とSimple JWT Login(外部連携用のログイン機能、〜3.6.6、CVE-2026-14262)、Genolve(AIで画像・動画を作る拡張、〜5.0.5、CVE-2026-1359)は、いずれも設定変更の権限チェックが抜けており、低い権限の利用者が自分を管理者に格上げできます。Swiss Toolkit For WP(各種便利機能の詰め合わせ、〜1.4.6、CVE-2026-2354)は、ファイル名の拡張子チェックが不完全で、画像に見せかけた危険なファイル(CWE-434)を送り込めます。Code Engine(記事内でコードを動かす拡張、〜0.3.5、CVE-2025-6784)は、ショートコード経由で任意の命令を実行できます。いずれも各プラグインの最新版で修正されています。使っているものがあれば、更新するか、当面は無効化してください。

この日のように、便利な拡張機能を入口にした乗っ取りは繰り返し起きています。プラグインの追加はサイトの「攻撃される面」を増やす行為でもあるため、使っていないものは削除し、導入している部品(オープンソース)の脆弱性を継続的に点検する仕組みもあわせて検討してください。会員登録を開放している、あるいは外部ライターに投稿権限を配っているサイトは、とくに今回の7件の対象になりやすい点に注意が必要です。

WordPress以外で、条件つきで危険なもの

この日はWordPress以外にも、危険度の高い脆弱性が公開されました。ただし、いずれも「その製品を自分で運用している人」や「特定の地域・業種」が対象で、一般の消費者が普段使うスマホやWebサービスが直接狙われるものではありません。数字は高いものの、無差別に刺さるものではない、という位置づけです。

CVE番号製品種類危険度攻撃の前提状態
CVE-2026-14480OpenPLC
Runtime v3
ファイル書き込み
→プログラム実行
9.9要ログイン悪用報告なし
CVE-2026-20744Le Circuit Électrique
(EV充電網)
権限昇格9.8ログイン不要悪用報告なし
CVE-2026-55879OpenReplay格納型の
スクリプト混入
9.3要ログイン+
管理者の閲覧
悪用報告なし
CVE-2026-44795Spinnaker安全でないデータ復元
→プログラム実行
8.8要ログイン悪用報告なし
CVE-2026-52747ModSecurity検査のすり抜け8.6他の欠陥と併用悪用報告なし
CVE-2026-55789Logto文書への命令混入
→権限昇格
8.5要ログイン悪用報告なし

数字がいちばん大きいOpenPLC Runtime v3(CVE-2026-14480/危険度9.9)は、工場やプラントの機械を制御する産業用ソフトです。ログインした利用者が任意のファイルを書き込んでプログラムを実行できますが、対象は制御システムを扱う技術者に限られ、一般の利用者とは接点がありません。Le Circuit Électrique(CVE-2026-20744/危険度9.8)は、カナダ・ケベック州のEV充電ネットワークの裏側の仕組みで、日本の利用者に直接の関係はありません。OpenReplay(CVE-2026-55879/危険度9.3)は、自社サイトの利用状況を記録・分析する自前運用の基盤で、攻撃には管理者が悪意あるデータを画面で開く操作が必要です。いずれも、CISAの実際に攻撃されている脆弱性のリスト(KEVダッシュボード日本語版)には登録されておらず、実際の攻撃も確認されていません。該当する製品を運用している場合のみ、提供元の更新情報を確認してください。

まとめ。今日、一般利用者が今すぐ動くべきものは

7月11日にまとめて公開された上記の脆弱性は、危険度の数字こそ高いものの、その大半は特定の製品を自分で運用している人が対象で、一般の消費者が使うスマホやWebサービスが直接狙われるものではありません。普段の利用者がこの一覧のために今すぐ何かをする必要は基本的にありません。

一方で、自分でWordPressサイトを運営している立場では話が別です。この日はプラグイン経由の乗っ取りが7件も並びました。とくに、ログイン不要で即座に奪われるminiOrange(危険度9.8)は最優先で更新を確認してください。今回まとめた7件は攻撃者にログイン用アカウントが必要とはいえ、だれでも会員登録できるサイトや、外部ライターに投稿権限を配っているサイトでは、その前提はあっさり満たされます。とくに200万サイト超が使うEssential Addons for Elementor(CVE-2026-15155)は対象が広く、使っていれば早めの更新を勧めます。使っていないプラグインは削除する、会員登録や投稿権限の付与は必要な範囲にとどめる、という基本の対策が、こうした「アカウント起点の乗っ取り」への一番の防御になります。

実際に攻撃されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)で追えます。この日、より広く影響するJoomla拡張の乗っ取りminiOrangeの件は、それぞれの記事もあわせて確認してください。前日分の一覧は7月10日のまとめを参照してください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go