WordPress『Ultimate Member』に管理者乗っ取りの脆弱性、CVE-2026-7761、最新版2.12.0へ更新を
世界20万サイト以上が使う会員制サイト構築プラグイン『Ultimate Member』に、投稿者権限の利用者が管理者を乗っ取れる脆弱性が見つかりました。CVE-2026-7761、深刻度はCVSS8.8。バージョン2.11.4以前が対象で、最新の2.12.0への更新が必要です。パスワード再設定用リンクを盗まれ、サイトを丸ごと奪われる恐れがあります。
堀川 慎
Backend Engineer / AWS / Django / Go
世界20万サイト以上が使う会員制サイト構築プラグイン『Ultimate Member』に、投稿者権限の利用者が管理者を乗っ取れる脆弱性が見つかりました。CVE-2026-7761、深刻度はCVSS8.8。バージョン2.11.4以前が対象で、最新の2.12.0への更新が必要です。パスワード再設定用リンクを盗まれ、サイトを丸ごと奪われる恐れがあります。
世界で20万サイト以上が使う会員制サイト構築プラグイン「Ultimate Member」に、権限の低い利用者が管理者アカウントを乗っ取れる脆弱性(プログラムの欠陥)が見つかりました。CVE-2026-7761、深刻度は10点満点中8.8(重要)です。
対象はバージョン2.11.4以前。発見したのはWordPress向けセキュリティ企業Wordfenceで、2026年6月24日に公表されました。修正は最新版の2.12.0(6月12日公開)に含まれています。投稿を書ける程度の権限しか持たない利用者が、管理者のパスワード再設定用リンクを盗み取り、サイトを丸ごと奪える恐れがあるため、古いバージョンを使うサイトはすぐに更新が必要です。
Ultimate Memberとは何のプラグインか
Ultimate Memberは、WordPressサイトに会員登録・ログイン・会員専用ページ・会員一覧といった機能を追加するプラグイン(追加部品)です。オンラインサロン、コミュニティサイト、有料会員サイト、社内ポータルなど、「会員だけが見られるサイト」を作るときに広く使われています。
公式の配布ページによると、現在20万以上のサイトで稼働しています。会員制という性質上、サイトには利用者の個人情報が集まりやすく、乗っ取られたときの影響が大きいプラグインのひとつです。
なお、このプラグインは過去にも実際の攻撃を受けた歴史があります。2023年には別の脆弱性を突いた大規模な攻撃キャンペーンが確認され、多数のサイトに不正な管理者アカウントが作られました。攻撃者にとって「狙う価値のあるプラグイン」として認知されている点は、今回の脆弱性を軽く見てはいけない理由になります。
誰が狙い、何をされ、どうなるのか
この脆弱性で危ないのは、誰でも外部から一発で攻撃できるタイプではない、という点をまず押さえておく必要があります。攻撃には「投稿者(Contributor)」以上の権限を持つアカウントが必要です。
そのうえで狙うのは、会員登録や寄稿受付で外部の人にアカウントを配っている会員制サイトに紛れ込んだ、投稿者権限の利用者です。誰でも記事を投稿できるメディア、ライター登録制のサイト、ゲスト寄稿を受け付けるコミュニティなどでは、攻撃者がごく普通の投稿者として登録するだけで前提条件を満たしてしまいます。
その投稿者がすることは、細工した下書き記事を作り、管理者がそれをプレビュー(確認)した瞬間に、管理者本人のパスワード再設定リンクを横取りすることです。管理者はただ下書きを開いて中身を確認しただけのつもりでも、その裏で自分のパスワードを変更できるリンクが攻撃者の手に渡ってしまいます。
リンクを手に入れた攻撃者は、管理者のパスワードを自分の好きなものに変えてログインできます。こうなると、会員の個人情報の抜き取り、サイトの改ざん、偽の管理者アカウントの追加、不正なファイルの設置まで、何でもできる状態になります。会員サイトを運営する企業・個人にとっては信用問題に直結し、登録した会員にとっては個人情報流出のリスクに直結します。
プラグインの脆弱性が実際に攻撃へ使われ始めると、米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあります。日本語で確認できる一覧はCISA KEV ダッシュボード(日本語版)にまとめています。
脆弱性の中身
今回のCVE-2026-7761は、実は単独の欠陥ではなく、3つの小さな論理の穴が連鎖して成立します。さらに、ほぼ同じ仕組みの脆弱性が3月にも見つかっており(CVE-2026-4248)、今回はその対策をすり抜ける新しい経路だった点が特徴です。順に見ていきます。
CVE-2026-7761:3つの穴の連鎖で管理者のリセットリンクを盗む(CVSS 8.8)
Ultimate Memberには、記事の本文中に「{usermeta:password_reset_link}」のような差し込みタグを書くと、その場を見ている利用者のパスワード再設定リンクに置き換えてくれる機能があります。本来は会員向けの便利機能ですが、これが悪用の起点になりました。
Wordfenceの分析によると、攻撃は次の3つの欠陥がつながって成立します。第一に、投稿の照合に古い方式(MD5ハッシュ)への切り替えが残っており、投稿のすり替えができてしまうこと。第二に、差し込みタグの種類を制限するチェックを、書き方を工夫することで回避できてしまうこと。第三に、項目の検証が甘く、「password_reset_link」という値を無理やり差し込めてしまうことです。
この3つを組み合わせると、投稿者権限の攻撃者が用意した下書きを管理者がプレビューした瞬間に、管理者向けのパスワード再設定リンクが生成され、攻撃者の用意した送信先に流れ出す仕組みになります。攻撃者はそのリンクを使って管理者のパスワードを変更し、完全な乗っ取りに至ります。
CVE-2026-4248:今回の前段にあたる3月の同型脆弱性(CVSS 8.0)
同じ差し込みタグを狙った脆弱性は、2026年3月にCVE-2026-4248として公表されています。こちらもバージョン2.11.2以前が対象で、投稿者権限の利用者が「[um_loggedin]」というショートコード(簡易命令)と差し込みタグを組み合わせた下書きを作り、管理者がプレビューするとそのパスワード再設定リンクが盗まれる、というものでした。
開発元はこれをバージョン2.11.3(3月26日公開)で、差し込み変換に拒否リスト(ブラックリスト)を入れて修正しました。ところが今回のCVE-2026-7761は、別の経路からその拒否リストをすり抜けるものでした。つまり「同じ狙いに対する2度目の修正」が今回というわけです。2.11.3や2.11.4へ更新しただけでは今回の欠陥は塞がりきっていないため、必ず最新版まで上げる必要があります。
自分のサイトが対象かどうかの早見表
影響を受けるのは、今回の脆弱性(CVE-2026-7761)についてはバージョン2.11.4以前です。最新の2.12.0で修正済みです。管理画面の「プラグイン」一覧でUltimate Memberのバージョンを確認してください。
| 使っている バージョン | CVE-2026-7761 (今回) | CVE-2026-4248 (3月) | やること |
|---|---|---|---|
| 2.11.2 以前 | 影響あり | 影響あり | 最優先で 2.12.0へ更新 |
| 2.11.3 〜 2.11.4 | 影響あり | 修正済み | 2.12.0へ更新 |
| 2.12.0 以降 | 修正済み | 修正済み | 対応不要 |
あわせて、外部の人に投稿者以上の権限を配っているサイトはとくに注意が必要です。攻撃の前提が「投稿者権限のアカウント」であるため、誰でも寄稿・登録できる運用ほどリスクが高くなります。
いま取るべき対策
最優先はUltimate Memberを最新版2.12.0へ更新することです。WordPressの管理画面から数クリックで更新できます。今回の欠陥は3月の修正をすり抜ける2度目のものなので、「3月に更新したから大丈夫」ではなく、必ず2.12.0以降になっているかを確認してください。
すぐに更新できない場合の緩和策として、次の点が有効です。会員登録や寄稿で外部の人に投稿者以上の権限を渡している場合は、当面そのプラグインを停止するか、新規の権限付与を絞ること。すでに不審な下書きや、身に覚えのない管理者アカウント、見慣れない投稿・転送設定がないかを点検すること。心当たりのないパスワード変更通知が届いていないか確認することです。判断がつかない場合は、信頼できるバックアップから復元したうえで専門家に相談するのが安全です。
WordPressプラグインの脆弱性は毎月のように大量に公表されています。6月にも数十件が一斉公開されており、その全体像は2026年6月のWordPressプラグイン脆弱性まとめで確認できます。使っていないプラグインは削除し、必要なものはこまめに更新する習慣が最大の防御になります。
まとめ
Ultimate Memberで見つかったCVE-2026-7761は、投稿者権限の利用者が管理者のパスワード再設定リンクを盗み、サイトを乗っ取れる脆弱性です。深刻度はCVSS 8.8。3月のCVE-2026-4248と同じ「差し込みタグ」を起点とし、その修正をすり抜ける新しい経路だった点が要注意です。
20万サイト以上で使われ、過去に大規模な攻撃も受けているプラグインだけに、放置のリスクは小さくありません。対象は2.11.4以前で、最新の2.12.0で修正済みです。会員サイトを運営しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Ultimate Memberに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。
参照元
- ▸NVD - CVE-2026-7761(Ultimate Member 管理者乗っ取り)
- ▸Wordfence - Ultimate Member 脆弱性情報
- ▸NVD - CVE-2026-4248(3月公表の同型脆弱性)
- ▸GitHub Advisory Database - GHSA-65gh-443q-r8g2(CVE-2026-4248)
- ▸WordPress.org - Ultimate Member 配布ページ(導入数・更新履歴)
- ▸Search Engine Journal - Ultimate Member Vulnerability Allows Full Site Takeover
- ▸WPScan - 過去のUltimate Member大規模攻撃キャンペーン
- ▸Ultimate Member - Security Incident Update and Recommended Actions