予約受付プラグイン「LatePoint」にサイト乗っ取りの脆弱性 CVE-2026-13228、スタッフ権限から管理者を奪える恐れ、10万サイトは5.6.4へ更新を
WordPressの予約受付プラグイン「LatePoint」に、スタッフ用アカウントからサイト全体の管理者権限を奪える脆弱性CVE-2026-13228が見つかりました。世界で10万サイト以上が対象。修正版5.6.4が公開済みで、店舗やクリニックの予約サイト運営者は今すぐ更新が必要です。
目次
WordPressの予約受付プラグイン「LatePoint」に、スタッフ用アカウントからサイト全体の管理者権限を奪える脆弱性CVE-2026-13228が見つかりました。世界で10万サイト以上が対象。修正版5.6.4が公開済みで、店舗やクリニックの予約サイト運営者は今すぐ更新が必要です。
美容室やクリニック、士業など、予約受付を自動化するWordPress向けの人気プラグイン「LatePoint(レイトポイント)」に、サイト全体を乗っ取られる深刻な脆弱性が見つかりました。管理番号はCVE-2026-13228で、危険度は10点満点中8.8点(重要度「高」)です。
問題は、予約サイトで働くスタッフ用の「エージェント」という限定的な権限しか持たないアカウントから、サイトの持ち主である管理者(最高権限)のアカウントを丸ごと奪える点にあります。開発元は2026年6月30日に修正版「5.6.4」を公開しました。LatePointは世界で10万サイト以上が使っており、5.6.3以前を使っている予約サイトの運営者は、今すぐ更新する必要があります。
| 項目 | 内容 |
|---|---|
| 管理番号 | CVE-2026-13228 |
| 対象ソフト | LatePoint(WordPress用 予約受付プラグイン) |
| 影響を受ける版 | 5.6.3 以前のすべて |
| 修正版 | 5.6.4(2026年6月30日公開) |
| 危険度 | CVSS 8.8 / 10(重要度「高」) |
| 脆弱性の種類 | 権限の管理不備 (CWE-269) |
| 攻撃の前提 | スタッフ用「エージェント」 アカウントが必要 |
| 悪用の確認 | 現時点で報告なし (KEV未登録) |
| 導入数 | 10万サイト以上 |
誰が、何のために狙うのか
この脆弱性を突けるのは、外部から誰でも、というわけではありません。狙うのは予約サイトで働くスタッフ用のアカウント(エージェント)を持っている人物、あるいはそのスタッフのログイン情報を盗み出した攻撃者です。受付担当のパートさん、業務委託の予約管理スタッフ、あるいは退職したのにアカウントが残っている元従業員などが該当します。
その人物ができてしまうのは、サイトの持ち主である管理者のメールアドレスを自分のものに書き換え、パスワードの再設定を使って管理者アカウントごと乗っ取ることです。本来、スタッフは予約の確認や顧客対応しかできないはずが、サイトの最高権限を握れてしまいます。
乗っ取られた側の被害は深刻です。予約サイトを運営する店舗やクリニックは、顧客の氏名・連絡先・予約履歴といった個人情報、決済サービスとの連携設定、サイトの中身そのものを一気に失う恐れがあります。予約した一般の利用者にとっても、自分の個人情報が第三者の手に渡り、偽の予約ページやフィッシング(本物を装った詐欺サイト)に誘導される二次被害につながりかねません。だからこそ、後述する更新作業を最優先で進める必要があります。
LatePointとは何か、「エージェント」とは誰か
LatePointは、WordPressで作ったサイトに「予約受付」の機能を後付けできるプラグイン(拡張ソフト)です。美容室・ネイルサロン・整体院・歯科・カウンセリング・士業の相談など、時間単位で予約を受ける業種で広く使われています。公式サイトによると2万1千以上の事業者が導入し、WordPress公式ディレクトリでの有効インストール数は10万件以上に達しています。
今回の話を理解する鍵が、LatePointの「役割(ロール)」の考え方です。LatePointには大きく分けて3種類の立場があります。予約する側の顧客(カスタマー)、施術やサービスを提供するスタッフ(エージェント)、そしてサイト全体を管理する管理者(アドミニストレーター)です。エージェントは美容師や施術者など「予約枠を持つ担当者」を指し、自分の予約状況の確認や担当顧客の管理はできますが、サイトの設定を変える権限は与えられていません。エージェントは管理者が発行する内部アカウントで、外部の第三者が勝手に取得できるものではありません。
つまり本来のLatePointは、「スタッフには予約業務だけをさせ、サイトの根幹はいじらせない」という前提で設計されています。今回の脆弱性は、その前提が崩れる欠陥でした。
何が起きるのか、脆弱性の中身
問題の中心にあるのは、顧客情報を作成・更新する内部処理(create_or_update()という関数)です。米国立標準技術研究所(NIST)の脆弱性データベースの説明によると、ここに2つの不備が重なっていました。
1つ目は、いわゆる「参照先のなりすまし」(専門的にはIDOR、他人のデータを指す番号を渡すと本人確認せずに操作できてしまう欠陥)です。エージェントが顧客情報を更新する際、「どの顧客を書き換えるか」を指定する番号のチェックが甘く、自分の担当外はおろか、管理者アカウントに紐づいた顧客情報まで指定できてしまう状態でした。2つ目は、その操作の際に「あなたにその権限がありますか」という役割の確認が抜け落ちていた点です。
この2つが組み合わさると、攻撃の筋道はこうなります。まずエージェント権限で、管理者アカウントに登録されているメールアドレスを、自分が管理するアドレスに書き換えます。次に、パスワードを忘れたときの「再設定」機能を使えば、再設定用のリンクは書き換え済みの自分のアドレスに届きます。あとは新しいパスワードを設定してログインするだけで、役割の確認を通らないまま管理者としてサイトに入れてしまう——というわけです。メールアドレスの書き換えを起点に管理者を乗っ取る手口は、少し前に報じたWordPress向けプラグイン「Kirki」の乗っ取り事例とよく似た構図です。
WordPressの管理者権限を奪われると、投稿やページの改ざん、不正なアカウントの追加、悪意あるコードの埋め込み、サーバー内のファイル操作まで、事実上なんでもできる状態になります。低い権限から管理者を奪う攻撃の危うさは、会員管理プラグイン「Ultimate Member」の管理者乗っ取り脆弱性や、編集者権限から任意のコードを実行できた「WPCode」の脆弱性でも繰り返し問題になってきました。
どれくらい危険なのか、条件を正しく読む
危険度を示すCVSSスコアは8.8で、「高」に分類されます。乗っ取りが成功すれば被害は最大級ですが、数字だけで慌てる前に前提条件を正確に押さえておきましょう。
この脆弱性を突くには、あらかじめエージェント(スタッフ)のログイン情報が必要です。危険度の内訳を見ても「必要な権限:低(ただしログイン済み)」となっており、ログインなしで外部から一発で乗っ取れるタイプではありません。この点を「無認証で誰でも乗っ取り可能」と書いている解説を見かけたら、それは正確ではありません。
ただし「ログインが必要だから安全」とは言えません。現実には、スタッフ本人による内部犯行、退職者の残存アカウント、業務委託先アカウントの管理不備、そしてフィッシングでスタッフのログイン情報を盗む手口など、エージェント権限が第三者の手に渡る経路はいくらでもあります。スタッフを多く抱える店舗チェーンや、外部スタッフに予約管理を任せている事業者ほど、リスクは現実的です。過去の同種脆弱性の解説でも、内部スタッフや外部委託の担当者が主な想定攻撃者として挙げられています。
自分のサイトは危ないか、バージョン別の早見表
まずは管理画面の「プラグイン」一覧でLatePointのバージョンを確認してください。以下の早見表で、自分のサイトの状況を判断できます。
| 使っているバージョン | スタッフ(エージェント)あり | 運営者本人だけ(スタッフなし) |
|---|---|---|
| 5.6.3 以前 | 危険度・高 今すぐ更新 | 危険度・中 それでも更新推奨 |
| 5.6.4 | 対策済み | 対策済み |
| LatePoint未使用 | 影響なし | 影響なし |
スタッフを登録していない、運営者ひとりだけのサイトなら、この脆弱性を突く「エージェント」役の入口がないため、切迫度は下がります。とはいえ後述するとおり、LatePointは同じ系統の欠陥を繰り返しており、他のスタッフを追加する予定があるサイトも含めて更新しておくのが安全です。
技術者の視点、LatePointは同じ穴を何度も塞いでいる
ここが今回いちばん伝えたい点です。CVE-2026-13228は単発の事故ではありません。LatePointは「スタッフ権限から管理者を奪える」という同系統の脆弱性を、ここ数か月で繰り返し修正し続けています。時系列で並べると、その反復ぶりがはっきり見えます。
| 管理番号 | 影響を受けた版 | 内容 |
|---|---|---|
| CVE-2026-1566 | 5.2.7 以前 | スタッフから 管理者への権限昇格 |
| CVE-2026-6741 | 5.4.1 以前 | 顧客と他人アカウントの 不正な紐づけ |
| CVE-2026-8176 | 5.5.1 以前 | スタッフから 管理者への権限昇格 |
| CVE-2026-13228 | 5.6.3 以前 | スタッフから 管理者への権限昇格(今回) |
同じ「スタッフから管理者への権限昇格」が、版を変えて何度も見つかっているのがわかります。なぜこうなるのか。エンジニアの目で見ると、これは個々のバグというより権限設計そのものの弱さを示しています。LatePointは、WordPress本体の利用者アカウントとは別に、独自の「顧客」「エージェント」という利用者の仕組みを持っています。この独自の仕組みとWordPress本体のアカウントを結びつける処理のどこかで、「この操作をする権限が本当にあるか」の確認が抜けやすい構造になっているのです。
操作の入口(メールアドレスの更新、顧客と利用者アカウントの紐づけ、パスワード再設定など)が複数あり、そのたびに権限チェックを一つひとつ正しく書かないといけません。1か所塞いでも別の入口が残る——だから同系統の脆弱性が繰り返し表面化する。これは特定のプラグインに限らず、「独自の権限体系を後付けで実装した拡張ソフト」が共通して抱えやすい弱点です。6月には複数の人気WordPressプラグインで脆弱性が相次いで公開されており、拡張ソフトを増やすほど攻撃の入口も増えるという構図は共通しています。
実務的な教訓は明確です。常習的に同系統の脆弱性が出るプラグインは、単に最新版へ更新するだけでなく、自動更新を有効にしておくべきです。次のCVEが出るのは時間の問題、という前提で運用するのが現実的です。
悪用は確認されているのか
現時点で、この脆弱性が実際の攻撃に使われたという報告は確認されていません。米政府のサイバーセキュリティ機関CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」にも、CVE-2026-13228は登録されていません。
ただし、脆弱性の詳細と修正内容は公式の更新履歴で公開されており、修正前後のコードを比較すれば攻撃手法を再現することは難しくありません。修正版が出た直後は、その差分を分析した攻撃が始まりやすい時期でもあります。「まだ攻撃されていない」ことは「更新しなくてよい」理由にはなりません。
いま何をすべきか
最優先は、LatePointを修正版5.6.4以降へ更新することです。WordPressの管理画面から「プラグイン」を開き、LatePointに更新の通知が出ていれば、その場で更新できます。開発元によれば5.6.4は、セキュリティ調査会社WordfenceとPatchstackからの報告を受けて修正されたものです。
更新に加えて、この機会に次の点も見直しておくと安全です。まず、不要になったエージェント(スタッフ)アカウントの削除です。退職者や契約終了した業務委託先のアカウントが残っていないか確認してください。次に、スタッフアカウントのパスワード強化と、二段階認証の導入です。エージェント権限が盗まれなければ、この脆弱性の入口はふさがります。さらに、管理者アカウントに登録したメールアドレスに、身に覚えのない変更や再設定の通知が届いていないかも確認しておきましょう。もし不審な兆候があれば、パスワードの再設定とログイン履歴の確認を行ってください。
まとめ
CVE-2026-13228は、予約受付プラグインLatePointのスタッフ用アカウントから、サイトの管理者権限を丸ごと奪える脆弱性です。危険度はCVSS 8.8と高い一方で、悪用にはあらかじめスタッフ権限が必要という前提があります。外部から誰でも一発で、というタイプではありませんが、内部犯行や盗まれたスタッフアカウント経由で現実に成立し得ます。
見逃せないのは、LatePointが同系統の権限昇格を繰り返し修正してきた点です。今回だけの問題として更新して終わりにするのではなく、自動更新を有効にし、不要なスタッフアカウントを整理する運用へ切り替えることをおすすめします。10万を超える店舗やクリニックの予約サイトが対象です。まずは自分のサイトのLatePointが5.6.4以降になっているか、今すぐ確認してください。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go