トップ/記事一覧/【2026年7月10日】セキュリティ脆弱性まとめ ― WordPress拡張で乗っ取り相次ぐ、一般利用者への影響は
cve-digest-2026-07-10-cover-ja

【2026年7月10日】セキュリティ脆弱性まとめ ― WordPress拡張で乗っ取り相次ぐ、一般利用者への影響は

2026年7月10日に公開された危険度9.0以上(重大)の脆弱性を網羅的にまとめます。ログイン不要でサイトを乗っ取れるWordPress拡張『Instant Appointment』、AI基盤OpenShift AIの情報漏えい、店舗検索プラグインGEO my WPなど3件を、攻撃の前提ごとに整理。個別記事化したSuper Forms・Hermes WebUIへのリンクも収録。自分の使う製品が対象か確認できます。

ニュース2026年7月10日公開 本日更新
目次
この記事のポイント

2026年7月10日に公開された危険度9.0以上(重大)の脆弱性を網羅的にまとめます。ログイン不要でサイトを乗っ取れるWordPress拡張『Instant Appointment』、AI基盤OpenShift AIの情報漏えい、店舗検索プラグインGEO my WPなど3件を、攻撃の前提ごとに整理。個別記事化したSuper Forms・Hermes WebUIへのリンクも収録。自分の使う製品が対象か確認できます。

2026年7月10日に世界の脆弱性データベース(NVD)や日本のJVNに公開された脆弱性のうち、危険度(CVSS)が9.0以上、いわゆる「重大(Critical)」と判定されたものを、この記事で網羅的に整理します。CVE番号で検索して訪れる読者が多いことを踏まえ、当サイトの判断で対象を絞らず、7月10日に「重大」評価がついた脆弱性は原則としてすべてここに掲載しています。多くが「特定の製品を自分で運用している人だけが対象」で、無差別に一般の利用者へ及ぶものではないのも事実ですが、条件がそろえば実害につながります。自分が使っている製品が含まれていないか、ここで確認してください。

なお、同じ7月10日に見つかった脆弱性のうち、影響が広い、または深掘りが必要と判断したものは単独の記事にしています。数万サイトで使われているWordPressのフォーム作成プラグイン「Super Forms」のサイト乗っ取り(CVE-2026-14894/危険度9.8)AIエージェントの操作画面「Hermes WebUI」のサーバー乗っ取り(CVE-2026-58123/危険度9.8)がそれにあたります。加えて、危険度は8.8と一段低いものの、約2万サイトで使われているWordPress会員管理プラグイン「UsersWP」の乗っ取り(CVE-2026-13492)も個別記事にしました。これらは重複を避けて下の一覧では割愛しています。前日分は7月9日のセキュリティ脆弱性まとめにまとめています。以下は、それ以外の「重大」評価がついた脆弱性の一覧です。

7月10日の脆弱性一覧

「攻撃の前提」の欄が、そのまま「自分に関係するか」の判断材料になります。ログイン不要のものは影響が広く、特定の製品を自分で運用している人だけが対象のものは対象が限られます。危険度は10点満点です。

CVE番号製品種類危険度攻撃の前提状態
CVE-2026-15282Instant
Appointment
ファイル
アップロード→乗っ取り
9.8ログイン不要悪用報告なし
(修正版なし)
CVE-2026-15378Red Hat
OpenShift AI
SSRF
(情報漏えい)
9.3ログイン不要悪用報告なし
CVE-2026-15300GEO my WPSQL
インジェクション
9.1ログイン不要悪用報告なし
CVE-2026-56688Dell PowerFlex
Manager
OSコマンド
実行
9.1要:高い権限悪用報告なし

ログイン不要で狙われうるもの(前提のハードルが低い)

ここに挙げるのは、攻撃者がログインせずに仕掛けられる種類です。ただし対象はいずれも、そのプラグインをサイトに入れて動かしている人に限られます。一般の消費者が普段使うスマホアプリが直接狙われるものではありません。この日はとくに、WordPressサイトに機能を追加する拡張機能(プラグイン)を経由した乗っ取りが目立ちました。

CVE-2026-15282: 予約受付プラグイン「Instant Appointment」に無認証のファイルアップロード

Instant Appointmentは、WordPressサイトに予約受付フォームを設置するための拡張機能(プラグイン)です。今回の欠陥は、画像を添付として受け取る処理(insapp_upload_image_as_attachment関数)でファイルの種類を検証しておらず、ログインしていない攻撃者が画像に見せかけた悪意のあるプログラムファイルをサーバーに送り込めるというもので、そのまま実行されればサイトを丸ごと乗っ取られます(危険度9.8)。手口は、同じ日に個別記事にしたSuper Forms(CVE-2026-14894)とほぼ同型です。対象はバージョン1.2以前で、この記事の公開時点では修正版が確認できていません。利用している場合は、いったん停止(無効化)するなどの回避策を検討してください。詳細はNVDの情報で確認できます。

CVE-2026-15300: 店舗・拠点検索プラグイン「GEO my WP」にSQLインジェクション

GEO my WPは、WordPressサイトに「近くの店舗・拠点を地図から探す」ような距離検索の機能を追加する拡張機能です。今回の欠陥は、距離や緯度・経度を受け取る項目(distance/lat/lngというパラメータ)で、入力を数値として扱う前の無害化が不十分だったというものです。開発元はesc_sql()という関数で処理していましたが、これは文字列の区切り記号を無害化するだけで、数値を書く場所に「1 OR SLEEP(3)」のような命令を差し込む攻撃は防げません。その結果、ログイン不要でデータベースへ不正な命令(SQL)を実行できてしまいます(危険度9.1)。ただし今回の評価は情報の読み出し(漏えい)ではなく、データの改ざんやサービス停止に相当する内容で、顧客情報がそのまま盗まれる類のものではありません。バージョン4.5.4以前が対象で、4.5.5で数値のチェックが追加され修正されています。該当する場合はNVDの情報を確認のうえ更新してください。

AI基盤を運用する企業向け(対象は限られる)

CVE-2026-15378: Red Hat「OpenShift AI」のAI安全機能から内部への踏み台

OpenShift AIは、Red Hatが提供する、企業が自社のサーバー基盤(Kubernetes)上でAIモデルを開発・運用するための商用プラットフォームです。今回の欠陥は、そのうちAIの入力と出力を検査する「ガードレール」機能(guardrails-detectors)にあります。細工したXMLスキーマ(XSD=データの形式を定義する文書)を送り込むと、サーバーが攻撃者の指定した先へ内部から勝手に通信してしまう「サーバー側からの不正リクエスト(SSRF)」が成立します。応答が画面に返らない「ブラインド」型ですが、クラウドの認証情報やKubernetesの管理用トークン、サーバー内部の機密ファイルを読み出される恐れがあり、危険度は9.3。ログインは不要です。ただし対象はOpenShift AIを自社で運用している企業に限られ、一般の利用者が直接狙われるものではありません。Red Hatのセキュリティ情報で対応状況を確認してください。AIの安全機構がかえって攻撃の入口になるという意味では、前日に扱ったAIツールRepomixのSSRFと同系統の問題です。

有効な管理者権限が前提のもの(対象は限られる)

CVE-2026-56688: 企業向けストレージ管理ソフト「Dell PowerFlex Manager」で管理者権限からのコマンド実行

Dell PowerFlex Managerは、Dellが提供する、企業のデータセンターでソフトウェア方式のストレージ基盤(PowerFlex)をまとめて管理・構築するためのソフトウェアです。今回の欠陥は、OSリポジトリの処理でコマンドの無害化が不十分な「OSコマンドインジェクション」で、すでに高い権限を持つ利用者が、サーバー上で管理者(root)として任意のコマンドを実行できてしまいます(危険度9.1)。悪用には「高い権限を持つアカウント」が前提のため、外部から誰でも突けるものではありませんが、成立すれば基盤全体を掌握されます。対象は5.1.0.1より前および4.5.5.2より前で、Dellのセキュリティ情報(DSA-2026-066)で修正版が公開されています。同じ更新では、低い権限の利用者が情報を読み出せるSQLインジェクション(CVE-2026-56690/危険度8.5)も併せて修正されており、PowerFlexを運用している場合はまとめて更新してください。

まとめ。今日、一般利用者が今すぐ動くべきものは

7月10日に「重大」評価がついた脆弱性のうち、この一覧に掲載したのは4件です。これとは別に、影響が広いと判断したSuper Formsのサイト乗っ取り(9.8)Hermes WebUIのサーバー乗っ取り(9.8)、および危険度8.8のUsersWPの乗っ取りを個別記事で扱っています。7月10日を通して、CISAのKEV(米政府が公開する、実際に攻撃されている脆弱性のリスト)に新たに登録されたものはなく、実際の攻撃が観測された案件もありません。一般の利用者がこの一覧のために今すぐ何かをする必要は基本的にありません。

一方、自分でWordPressサイトを運営している立場では、この日はプラグイン経由の乗っ取りが目立ちました。Super FormsとInstant Appointment(CVE-2026-15282)はいずれもログイン不要でサイトを奪われる恐れがあり、使っていれば最優先で更新(修正版がなければ一時停止)を確認してください。実際に攻撃されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)で追えます。前日分の一覧は7月9日のまとめを参照してください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go