WordPressのThe Events Calendarに情報流出の脆弱性 CVE-2026-49772
WordPress用の人気イベント表示プラグイン「The Events Calendar」に、ログイン不要でデータベースの中身を抜き取れる脆弱性CVE-2026-49772(危険度9.3)が見つかりました。対象は6.15.12〜6.16.2で、70万サイト以上が影響します。修正版6.16.3以降への更新手順と確認方法を解説します。
堀川 慎
Backend Engineer / AWS / Django / Go
WordPress用の人気イベント表示プラグイン「The Events Calendar」に、ログイン不要でデータベースの中身を抜き取れる脆弱性CVE-2026-49772(危険度9.3)が見つかりました。対象は6.15.12〜6.16.2で、70万サイト以上が影響します。修正版6.16.3以降への更新手順と確認方法を解説します。
世界中のWordPressサイトでイベントの日程や予定表を表示するために使われている人気プラグイン「The Events Calendar(ザ・イベンツ・カレンダー)」に、深刻な脆弱性が見つかりました。番号はCVE-2026-49772です。ログイン用のアカウントを一切持っていない第三者でも、細工した通信をサイトに送りつけるだけで、データベースの中身を直接抜き取れてしまう恐れがあります。
このプラグインは公式ディレクトリで70万件以上のサイトに導入されており、影響範囲は非常に広いとみられます。危険度は10段階で9.3と「緊急」に分類されています。開発元のStellarWPはすでに修正版(バージョン6.16.3)を公開済みで、現在の最新版は6.16.4です。古いバージョンを使っている場合は、いますぐの更新をおすすめします。
✓ 現時点で確認できている事実
- ✓対象はWordPress用プラグイン「The Events Calendar」のバージョン6.15.12から6.16.2まで(Patchstack)
- ✓種別は、入力値の細工でデータベースを不正操作されるSQLインジェクション(CWE-89)。応答内容から結果を読み取る「ブラインドSQLインジェクション」型
- ✓悪用にログイン不要(無認証)で、インターネット越しに到達可能。危険度は10段階で9.3(緊急)(NVD)
- ✓修正版は6.16.3で公開済み(最新は6.16.4)。発見はセキュリティ研究者「vtim」氏で、Patchstack経由で報告された。現時点で実際の攻撃に悪用されたという公式報告は確認されていない
The Events Calendarとはどんなプラグインか
The Events Calendarは、WordPressで作ったサイトに「イベントの一覧」や「カレンダー表示」を簡単に追加できるプラグインです。セミナーや展示会、自治体やNPOの催し、店舗のキャンペーン、教室のスケジュールなどを、ブラウザ上のカレンダーや一覧で見せるために使われます。開発元のStellarWP(米Liquid Web/Nexcess傘下)はWordPress向けの定番ツールを多数手がける企業で、The Events Calendarはその中でも70万件以上のサイトに導入された主力製品です。無料版に加え、チケット販売機能などを足す有料版も提供されています。
プラグインとは、WordPress本体に後から機能を足す「拡張部品」のことです。便利な反面、その部品にひとつでも穴があると、サイト全体が危険にさらされます。今回の脆弱性が厄介なのは、攻撃にログインが一切いらない点です。サイトの会員でも管理者でもない、まったくの第三者が、外部からカレンダー関連の通信を送るだけで成立してしまいます。WordPressサイトは世界のウェブの4割以上を占めるとされ、こうした人気プラグインの無認証の穴は、世界中のサイトを片端から自動でなぞる「大量自動攻撃」の格好の的になります。
名簿棚の鍵がかかっていない裏口が、世界中に70万個ばらまかれた
この穴を真っ先に狙うのは、特定の誰かを恨む人物ではありません。脆弱なサイトを世界中から自動で探し回るボット運用者、抜き取った名簿を闇市場で売りさばく転売グループ、企業への侵入口を物色してランサムウェア集団に売り渡す初期アクセスブローカー、そしてイベント参加者の連絡先を欲しがるスパム・詐欺業者です。彼らが狙うのはサイトの見た目ではなく、その裏のデータベースに眠る中身です。会員やイベント参加者の氏名とメールアドレス、チケット購入者の連絡先や決済まわりの個人情報、管理者アカウントのハッシュ化されたパスワード、そしてログイン状態を偽装するためのサイトの秘密鍵。CVE-2026-49772が踏まれた瞬間、ログイン画面を一度も通らないまま、これらの名簿と鍵がデータベースから丸ごと吸い出されてしまいます。
抜き取られた先で起きることは、一度の漏えいでは終わりません。流出した参加者名簿はまず闇市場で転売され、そのリストに向けて「イベントが中止になりました」「参加費を返金します」を装ったフィッシングメールが送られます。イベントという文脈に乗せられた偽メールは本物と見分けがつきにくく、受け取った人はつい偽の決済ページに情報を入力してしまいます。さらに攻撃者は、抜き取った管理者のハッシュ化パスワードを時間をかけて解析し、WordPressの管理画面そのものを乗っ取ります。そうなればサイトは改ざんされ、訪問者にマルウェアを配る踏み台にされたり、身代金を要求するランサムウェアの入口にされたりします。
そして、この一連の被害の責任は、サイトを運営する側に返ってきます。イベントを主催する自治体やNPO、教室や店舗の運営者は、参加者の個人情報を預かる立場です。漏えいが起きれば、個人情報保護委員会への報告や本人への通知が義務づけられ、問い合わせ対応や信用の失墜という重い負担を背負うことになります。危険度9.3という数字には、こうした「サイトが落ちなくても、預かった名簿だけが静かに抜かれていく」損失までは表れません。専任の担当者を置けない小さな運営ほど被害に気づきにくく、いま更新を当てられるかどうかが、参加者の安全を左右します。
CVE-2026-49772:細工した入力でデータベースに直接問い合わせる
CVE-2026-49772は、PatchstackのアドバイザリとNVDの登録情報によると、The Events Calendarに存在するSQLインジェクション(CWE-89)です。SQLインジェクションとは、サイトがデータベースへ問い合わせる文(SQL)に、利用者が入力した文字列をそのまま混ぜてしまうことで起きる不備です。攻撃者は入力欄やURLのパラメータに、本来のデータではなくデータベースへの命令を紛れ込ませ、サイトに意図しない問い合わせを実行させます。今回はその結果が画面に直接表示されないため、応答の違い(成功か失敗か、表示の有無)から1文字ずつ中身を推測して抜き取る「ブラインドSQLインジェクション」型に分類されています。
技術的な評価軸(CVSSベクター)は AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L で、スコアは9.3です。要点は「インターネット越しに(AV:N)、簡単な条件で(AC:L)、ログインなし(PR:N)でも、利用者の操作を介さず(UI:N)、影響がプラグインの枠を越えてサイト全体に及び(S:C)、データベースの情報を読み取れる(C:H)」という意味です。注意したいのは PR:N(権限不要)と AV:N(ネットワーク到達)の組み合わせで、これは無認証かつインターネット経由で誰でも届くという、最も悪用されやすい条件です。データの改ざん(I:N)は直接の評価対象外ですが、抜き取った管理者情報を足がかりにすれば、結果的にサイト全体の乗っ取りへつながり得ます。
影響を受けるバージョンと、自分のサイトの確認方法
影響範囲とやるべき対応は、いま入っているバージョンによって変わります。WordPressの管理画面で「プラグイン」を開き、The Events Calendarのバージョン番号を確認してください。下の早見表で自分の状況を確かめ、6.16.3以降へ更新します。
| 使用中のバージョン | 状態 | やるべきこと |
|---|---|---|
| 6.15.12 〜 6.16.2 | 危険 (脆弱性あり) | ただちに6.16.3以降へ更新 |
| 6.15.11 以前 | 要確認 (別の既知脆弱性あり) | 最新版へまとめて更新 |
| 6.16.3 | 修正済み | 対応不要(最新化を推奨) |
| 6.16.4(最新) | 安全 | 対応不要 |
なお、The Events Calendarには有料の拡張版(The Events Calendar Pro)やチケット販売機能(Event Tickets)も存在します。基盤となる無料版が今回の対象のため、拡張版を併用している場合も基盤側を6.16.3以降に上げる必要があります。チケット販売を使っているサイトは、購入者の個人情報がデータベースに含まれるぶん、優先度を高く見ておくと安全です。
いますぐやるべきこと
最優先はプラグインの更新です。WordPressの管理画面から「プラグイン」→「更新」を開き、The Events Calendarを6.16.3以降(できれば最新の6.16.4)へ更新してください。自動更新を有効にしているサイトでは、すでに当たっている場合もありますが、念のためバージョン番号を目視で確認しておくと確実です。複数サイトをまとめて管理している場合は、管理ツールで各サイトのバージョンを一覧化し、6.16.2以前のものを洗い出します。
すぐに更新できない事情がある場合の応急処置として、WAF(Webアプリケーションファイアウォール)でSQLインジェクションらしい通信を遮断する方法があります。Patchstackやセキュリティ系プラグインの仮想パッチ機能を使えば、本体を更新するまでの時間を稼げます。ただしこれはあくまで一時しのぎで、根本対応は本体の更新です。あわせて、更新後に不審なログイン履歴やデータベースの異常、見覚えのない管理者アカウントがないかも点検しておきたいところです。
The Events CalendarのようなWordPressプラグインは、世界中で共通の部品が使われるぶん、ひとつの穴が見つかると大量のサイトが同時に狙われます。利用しているプラグインがどこから来た部品で、いつ更新されたかを把握しておくことは、こうした連鎖的な被害を防ぐ第一歩です。本サイトでは、どのオープンソース部品にどんな脆弱性が報告されているかを横断的に確認できるOSSサプライチェーン スキャナーを公開しています。あわせて、実際に攻撃が確認された脆弱性の最新状況はCISA KEV日本語ダッシュボードでまとめています。CVE-2026-49772は現時点でKEV(米政府CISAが公開する、実際に攻撃されている脆弱性のリスト)には登録されていませんが、無認証で大量悪用されやすい性質のため、登録を待たずに対応しておくのが安全です。
WordPressの人気プラグインが狙われ続けている
導入数の多いWordPressプラグインを狙う脆弱性は、ここ最近もきわめて頻繁に報告されています。本サイトでは、パスワード再発行の不備から管理者を乗っ取られた『Kirki』の悪用中の脆弱性(CVE-2026-8206、50万サイト)、フォーム作成の定番で4件の脆弱性が同時に出た『Gravity Forms』ほかのまとめ、編集者権限から任意コードを実行できた『WPCode』の脆弱性(CVE-2026-8832)を取り上げてきました。
これらに共通するのは、「便利だから入れた拡張部品が、いつの間にか侵入口になっていた」という構図です。とくに無認証で悪用できるタイプは、世界中のサイトを機械的になぞる自動攻撃と相性がよく、公開から悪用開始までの時間がどんどん短くなっています。プラグインを入れること自体は問題ではありません。問題は、入れたあとに更新されないまま放置されることです。今回のCVE-2026-49772を機に、サイトに入っているプラグインの棚卸しと、自動更新の設定を一度見直しておくことをおすすめします。