WordPressの人気プラグイン3種に管理者乗っ取りの脆弱性、100万サイト超の翻訳ツールも対象 CVE-2026-15005ほか最新版へ更新を(2026年7月16日)
2026年7月16日、WordPressの人気プラグイン3種に乗っ取りにつながる重大な脆弱性が公表されました。対象は導入100万サイト超の翻訳ツールLoco Translate、電話番号ログインのDigits、集客ページ作成のWPFunnels。いずれも権限を奪われ管理者になりすまされる恐れがあり、危険度は10段階中8.8。各プラグインを最新版へ更新すれば回避できます。
目次
2026年7月16日、WordPressの人気プラグイン3種に乗っ取りにつながる重大な脆弱性が公表されました。対象は導入100万サイト超の翻訳ツールLoco Translate、電話番号ログインのDigits、集客ページ作成のWPFunnels。いずれも権限を奪われ管理者になりすまされる恐れがあり、危険度は10段階中8.8。各プラグインを最新版へ更新すれば回避できます。
2026年7月16日、WordPressの人気プラグイン3種に、サイトを乗っ取られる恐れのある重大な脆弱性が公表されました。危険度はいずれも10段階中8.8で、条件がそろうと攻撃者が管理者になりすまし、サイトを自由に操作できてしまいます。
対象は、翻訳を助ける「Loco Translate」(世界100万サイト超で稼働)、電話番号でログインできるようにする「Digits」、集客ページを作る「WPFunnels」の3つです。用途はばらばらですが、「本来は触れないはずの管理者権限を奪われる」という危険の中身は共通しています。
結論を先に言うと、対策はどれも「各プラグインを最新版へ更新する」ことに尽きます。いずれも実際に攻撃された報告はまだありませんが、内容が公開された以上、更新は早いほど安全です。何が起きるのか、自分のサイトは対象か、どう直すのかを順に説明します。WordPressプラグインの脆弱性は毎週のように出ており、少し前にも7月13日に一挙28件が公表されたばかりです。
3つのプラグインで何が起きたのか
今回の3件は、大きく2つのタイプに分かれます。ひとつは、サイトに低い権限で登録したユーザーが、自分の権限を管理者へ勝手に格上げできてしまうタイプ(Digits と WPFunnels)。もうひとつは、ログインしていない攻撃者が、管理者をだまして細工したページを開かせ、サーバー上でプログラムを実行させるタイプ(Loco Translate)です。
どちらも最終的なゴールは同じで、「サイトの持ち主と同じ力」を手に入れることです。管理者権限を奪われると、記事の改ざんや偽ページの設置、会員情報の抜き取り、別の不正プログラムの埋め込みまで、事実上なんでもできてしまいます。だからこそ、危険度は8.8という高い数字がついています。
3件はいずれもWordPressのプラグイン(拡張機能)の問題で、WordPress本体の欠陥ではありません。つまり、これらのプラグインを入れていないサイトは影響を受けません。まずは自分のサイトに該当プラグインがあるか、あるならバージョンはいくつかを確認するのが出発点になります。
対象プラグインと対処の早見表
自分のサイトが対象かどうかを一目で判断できるよう、3件を並べました。「影響を受けるバージョン」に当てはまるなら、すぐ右の「修正版」へ更新してください。
| プラグイン | 主な用途 | 導入規模 | 影響を受ける版 | 修正版 | 危険度 |
|---|---|---|---|---|---|
| Loco Translate | 翻訳の編集 | 100万サイト超 | 2.8.5 以下 | 2.8.6 以降 (最新は2.8.7) | 8.8 |
| Digits | 電話番号ログイン | 有償・多数の販売実績 | 9.1.0.5 以下 | 開発元の最新版 | 8.8 |
| WPFunnels | 集客ページ作成 | 6,000サイト超 | 3.12.8 以下 | 3.12.9 以降 | 8.8 |
危険度の「8.8」は、共通の物差しであるCVSS(脆弱性の深刻度を10点満点で表す指標)によるものです。9.0以上の「緊急」には一歩届かないものの、「重要(High)」に区分される高い水準で、後回しにしてよい数字ではありません。
誰が、何のために狙うのか
今回の脆弱性を悪用するのは、サイトに一般会員(購読者など低い権限)として登録できる人物や、サイト管理者に細工したリンクを踏ませられる攻撃者です。会員登録を受け付けている通販サイトや会員サイトは、この「登録できる人物」の入り口が常に開いていることになります。
その相手が行うのは、奪った足がかりを使って自分を管理者に格上げしたり、サーバー上で好きなプログラムを動かしたりすることです。Digits と WPFunnels では、低い権限のアカウントから管理者へ一気に昇格できてしまいます。Loco Translate では、ログインしていない攻撃者が管理者をだまし、細工したページを開かせることで、サーバー上に不正なコードを送り込みます。
管理者権限まで到達されると、被害はサイト運営者だけの問題では終わりません。訪問者に偽のログイン画面や決済ページを見せて情報を盗んだり、サイトを踏み台にして別の攻撃をしかけたりと、そのサイトを訪れる一般の利用者にも被害が及びます。過去には、ログイン連携プラグインの穴を突かれたminiOrange系プラグインの乗っ取り事例のように、権限昇格の欠陥が集中的に狙われた例もあります。
3件の脆弱性の詳細
それぞれの中身を、技術的な背景も交えて個別に見ていきます。自分が使っているプラグインの項目だけ読んでも問題ありません。
CVE-2026-15005:Loco Translate(100万サイト超)で任意コード実行
Loco Translate は、テーマやプラグインの翻訳をWordPressの管理画面から直接編集できる定番ツールで、世界で100万サイト超に導入されています。今回の欠陥(CVE-2026-15005)は、翻訳ファイルを扱う内部処理で「本当に正規の操作か」を確かめる仕組み(ワンタイムの合言葉にあたるnonce)の確認が抜けていたことに起因します。
この抜けを突くと、攻撃者は管理者に細工したページを開かせるだけで、正規の操作になりすまして翻訳処理を呼び出せます。さらにphp://filterという特殊な指定を悪用することで、最終的にサーバー上で任意のPHPコードを実行できてしまいます。ログイン情報そのものは不要で、管理者がうっかりリンクを踏むことが引き金になる点が厄介です。影響を受けるのは2.8.5以下で、2.8.6以降(現在の最新は2.8.7)へ更新すれば解消します。
CVE-2026-13741:Digits(電話番号ログイン)で管理者へ昇格
Digits は、メールアドレスの代わりに携帯電話番号で会員登録・ログインできるようにする有償プラグインです。今回の欠陥(CVE-2026-13741)は、ユーザー情報を更新する内部処理で、送られてきた「役割(ロール)」の値を検証していなかったことが原因です。
その結果、購読者のような低い権限で登録した利用者が、更新リクエストに偽の役割の値を紛れ込ませるだけで、自分を管理者へ格上げできてしまいます。会員登録を開放しているサイトでは、誰でもこの入り口に手が届くことになります。対象は9.1.0.5以下で、開発元(UnitedOver)が公開した最新版へ更新する必要があります。Digitsは配布元経由で更新するため、購入したマーケットプレイスや管理画面のライセンス連携から最新版を適用してください。
CVE-2026-15103:WPFunnels(集客ページ作成)で権限昇格
WPFunnels は、WooCommerce向けに販売導線(ファネル)や購入後の追加提案ページを作れるプラグインで、6,000サイト超で稼働しています。今回の欠陥(CVE-2026-15103)は、設定を更新するREST APIの処理が、受け取ったパラメータを許可リストで確かめないまま内部の設定保存に渡していたことに起因します。
これを悪用すると、ファネルを扱える程度の権限を持つユーザーが、利用者の役割を管理する設定を不正に書き換え、権限を引き上げられてしまいます。対象は3.12.8以下で、3.12.9以降へ更新すれば解消します。なお、WPFunnelsは以前にも別の重大な欠陥が報告されており、日ごろから最新版を保つ運用が特に大切なプラグインです。
いま何をすればいいのか
やることはシンプルです。WordPressの管理画面から、次の順で確認・対応してください。
| 手順 | やること |
|---|---|
| 1. 確認 | 「プラグイン」画面で該当3種の有無と バージョンをチェック |
| 2. 更新 | 対象なら早見表の修正版へ更新 (Digitsは配布元から) |
| 3. 点検 | 身に覚えのない管理者アカウントが 増えていないか確認 |
| 4. 予防 | 自動更新の有効化と 不要な会員登録開放の見直し |
とくに会員登録を開放しているサイトは、Digits と WPFunnels の権限昇格が現実の脅威になりやすいので優先して更新してください。更新後は、管理者一覧に見覚えのないアカウントが追加されていないかを確認しておくと安心です。もし不審なアカウントや改ざんが見つかった場合は、パスワードの一斉変更とバックアップからの復旧を検討します。
日常的な備えとしては、使っていないプラグインを削除し、残すものは自動更新を有効にしておくのが有効です。プラグインの棚卸しについては、過去のWordPressプラグイン脆弱性まとめでも繰り返し触れてきたとおり、「入れっぱなし」が最大のリスクになりがちです。
まとめ
2026年7月16日に公表された3件は、用途こそ違え「管理者権限を奪われる」という危険で共通しています。とりわけ Loco Translate は100万サイト超で使われている定番だけに、対象範囲が広い点に注意が必要です。いずれも実際の攻撃はまだ確認されていませんが、内容が公開された脆弱性は時間とともに悪用されやすくなります。
やるべきことは「該当プラグインを最新版へ更新する」だけで、難しい作業はありません。会員登録を受け付けているサイトから優先的に対応し、更新後に管理者アカウントの点検までを一区切りとするのがおすすめです。新しい情報や実際の攻撃が確認された場合は、この記事に追記していきます。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go