WordPress『Kirki』に脆弱性 CVE-2026-8206、50万サイトで管理者乗っ取り

世界で50万サイト以上に導入されているWordPress（世界のサイトの約4割で使われるサイト構築ソフト）の人気プラグイン「Kirki（キルキ）」に、ログインせずに管理者アカウントを乗っ取れる欠陥（CVE-2026-8206）が見つかりました。危険度を示すCVSSは10点満点中9.8（最高ランクの「緊急」）。原因はパスワード再設定の処理の不備で、攻撃者は利用者名さえ知っていれば、その人のパスワード再設定リンクを自分のメールアドレスに送らせて乗っ取れます。

対象はバージョン6.0.0〜6.0.6で、修正版の6.0.7がすでに公開されています。Wordfence（WordPress向けセキュリティ会社）によると、約50万サイトのうち15万サイト前後がまだ危険な版を使っているとみられます。本記事では、何が起きるのか、自分のサイトが対象か、いま何をすべきかを順番に整理します。

欠陥の概要

まず要点を一覧にします。最大の特徴は、攻撃にログインが一切不要な点と、奪える相手に管理者アカウントまで含まれる点でございます。管理者を奪われれば、サイトは事実上まるごと相手の手に渡ります。

「アカウント乗っ取り」は、本人になりすましてログインされてしまう攻撃です。今回は、本来そのアカウントの登録メールにしか送られないはずのパスワード再設定リンクを、攻撃者が指定した別のメールに送らせる、という形で成立します。CVSS 9.8は「認証なし・ネットワーク経由・難易度低」を意味する緊急レベルでございます。

「パスワードをお忘れですか」の一画面が、管理者の椅子を明け渡す

攻撃の入口が、誰もが見慣れた「パスワードをお忘れですか」の画面だという点が、この欠陥のたちの悪いところです。狙いをつけるのは、乗っ取ったサイトに偽の通販ページや詐欺の誘導を仕込む荒らし、会員の氏名やメール・購入履歴を抜いて名簿として売る窃取グループ、検索結果を汚す不正リンクを大量に埋め込むスパム業者、そして他人のサーバーを踏み台に使いたい攻撃者です。彼らは管理者の利用者名を当たりをつけて入力し、自分のメールアドレスを添えて再設定を要求します。その一手で管理者のパスワード再設定リンクが攻撃者の受信箱に届き、新しいパスワードを設定された瞬間、サイトの管理画面の鍵はそっくり奪われます。

管理者を奪われると、被害は一段では止まりません。攻撃者は新たな管理者アカウントをこっそり追加し、サイトに不正なコードを仕込んで訪問者のクレジットカード情報を抜いたり、会員データベースを丸ごと持ち出したりします。仕込まれた裏口は、運営者がパスワードを変えても残り続けることがあり、表向きは平常運転に見えるまま情報が流れ続けます。WordPressは世界のサイトの約4割を占めるため、攻撃者にとっては同じ手口で大量のサイトを刈り取れる、効率のよい標的でございます。

後始末を背負うのは、そのサイトを運営する企業や個人です。会員情報が漏れれば個人情報保護委員会への報告と本人への通知義務が生じ、通販なら決済情報の流出、企業サイトなら改ざんによる信用の失墜が残ります。50万サイトという規模は、攻撃者が「どこか1つ」ではなく「片っ端から」試せることを意味します。いま6.0.7へ更新できるかどうかが、自分のサイトがその刈り取りの対象に入るかどうかの分かれ目になります。

そもそもKirkiとは何のプラグインか

Kirkiは、WordPressサイトの見た目や設定を整えるためのプラグイン（機能を追加する拡張部品）です。もともとはテーマ開発者向けに、色やフォント、レイアウトのカスタマイズ画面を簡単に作れる「カスタマイザー用の枠組み」として広く使われてきました。現在は「Freeform Page Builder, Website Builder & Customizer」と名乗り、ページ作成機能も備える形で配布されており、累計で50万サイト以上に導入されています。

今回問題になったのは、そのKirkiが独自に持っていたパスワード再設定の処理です。WordPress本体にも標準のパスワード再設定機能はありますが、Kirkiは自前のログイン・会員機能の一部として、独自の「パスワードをお忘れですか」処理を用意していました。この独自処理の作りが甘かったために、本来あってはならない「他人宛ての再設定リンクを横取りする」操作が通ってしまったのでございます。

CVE-2026-8206の中身：再設定リンクが攻撃者のメールに届く

Wordfenceの解析とNVD（米国の脆弱性データベース）によると、欠陥はKirki内部のhandle_forgot_password()という処理にありました。この処理は、送られてきた利用者名から正しいアカウントを特定するところまでは正常に動きます。ところが、パスワード再設定リンクの送り先メールアドレスを、そのアカウントの登録メールではなく、リクエストに添えられた任意のメールアドレスにしてしまっていたのです。

つまり攻撃者は、狙ったアカウント（たとえば管理者）の利用者名と、自分の受信できるメールアドレスを送るだけで、管理者あての再設定リンクを自分の手元に取り寄せられることになります。あとはそのリンクから新しいパスワードを設定すれば、管理者として正規にログインできてしまいます。CVSSの内訳は AV:N/AC:L/PR:N/UI:N で、ネットワーク経由・難易度低・認証不要・利用者操作不要という、最も重いプロファイルでございます。欠陥の分類は権限管理の不備（CWE-269）です。

影響を受けるのは6.0.0から6.0.6までの全バージョンです。報告を受けたKirkiの開発元は、修正版の6.0.7で、再設定リンクの送り先を必ずアカウントの登録メールに固定するよう修正しました。なお、Kirkiでは今回とは別に、ファイル読み取りに関する脆弱性（CVE-2026-8073）も報告されており、いずれも最新版で対処されています。

自分のサイトが影響を受けるかの早見表

Kirkiを入れているか、そのバージョンがいくつかで、対応の緊急度が変わります。まずは管理画面の「プラグイン」一覧でKirkiの有無とバージョンを確認してください。

テーマに付属する形でKirkiが同梱されている場合、自分で入れた覚えがなくても動いていることがあります。プラグイン一覧に「Kirki」が見当たらなくても、使用中のテーマがKirkiを利用していないか、テーマ提供元の案内も確認しておくと安心です。

いま取るべき対策

最優先は、Kirkiを6.0.7以降へ更新することです。WordPressの管理画面から「プラグイン」→「更新」で適用できます。自動更新を有効にしておくと、今後の修正も取りこぼしにくくなります。約15万サイトがまだ危険な版を使っているとみられ、いつ攻撃が始まってもおかしくありません。更新は後回しにせず、いますぐ行ってください。

あわせて、すでに侵入されていないかの確認も重要です。管理画面の「ユーザー」一覧を開き、見覚えのない管理者アカウントが増えていないかを点検してください。心当たりのないユーザーがいれば削除し、すべての管理者のパスワードを再設定するのが安全です。投稿やテーマファイルに不審なコードが追加されていないか、サイトの改ざんチェック機能やセキュリティプラグインでの確認も有効でございます。

WordPressプラグインの脆弱性は、このところ立て続けに出ています。『Gravity Forms』など4件、編集者から管理者を奪うTinyMCEの脆弱性、ACF Extendedの管理者作成欠陥でも触れたとおり、使っていないプラグインは削除し、残すものは更新を欠かさないことが、いちばんの守りになります。

確認済みの事実と、未確認のこと

公表までの経緯

研究者の報告から、修正版の公開・脆弱性情報の登録までの流れを時系列で整理します。

← スワイプで移動

よくある質問

まとめ

Kirkiで見つかったCVE-2026-8206は、パスワード再設定リンクの送り先を検証していなかったために、ログイン不要で管理者を含む任意のアカウントを乗っ取れる欠陥です。CVSSは9.8。対象は6.0.0〜6.0.6で、修正版6.0.7がすでに公開されています。約50万サイトが導入し、うち15万サイト前後がまだ危険な版を使っているとみられます。悪用の報告は今のところありませんが、欠陥の中身も修正版も公開済みで、攻撃が始まるのは時間の問題とみるべきです。Kirkiを使っているサイトは、いますぐ6.0.7以降へ更新し、不審な管理者アカウントが増えていないかをあわせて確認してください。パスワード再設定の「送り先を疑わない」設計は、一行の見落としがサイトまるごとの明け渡しにつながる典型例でございます。

参照元

• ▸NVD - CVE-2026-8206
• ▸Wordfence - Kirki 脆弱性情報
• ▸WordPress.org - Kirki プラグイン
• ▸eSecurity Planet - Critical WordPress Plugin Vulnerability Allows Admin Account Takeover