WordPress本体に乗っ取りの脆弱性 CVE-2026-60137ほか、最新版へ更新を
世界の約4割のサイトが使うWordPressの本体に、データベースを不正に操作できる脆弱性が2件見つかりました。CVE-2026-60137とCVE-2026-63030で、組み合わせるとログイン不要でサイトを乗っ取られる恐れがあります。修正版6.8.6・6.9.5・7.0.2が公開され、自動更新も強制適用済みです。今の版が対処済みか確認する方法を解説します。
目次
世界の約4割のサイトが使うWordPressの本体に、データベースを不正に操作できる脆弱性が2件見つかりました。CVE-2026-60137とCVE-2026-63030で、組み合わせるとログイン不要でサイトを乗っ取られる恐れがあります。修正版6.8.6・6.9.5・7.0.2が公開され、自動更新も強制適用済みです。今の版が対処済みか確認する方法を解説します。
世界のウェブサイトのおよそ4割が使うWordPress(ワードプレス)の本体(コア)に、サイトの乗っ取りにつながりかねない深刻な欠陥が2件見つかりました。CVE-2026-60137とCVE-2026-63030で、この2つが組み合わさると、ログインしていない外部の攻撃者がデータベースを不正に操作し、最終的にサーバー上で任意のプログラムを実行できる恐れがあります。WordPressを動かす仕組みそのものの欠陥で、特定のプラグイン(拡張機能)だけの問題ではありません。
開発元は2026年7月17日、修正版のWordPress 7.0.2・6.9.5・6.8.6を同時に公開しました。あわせて、WordPress.orgの運営チームが、対象バージョンのサイトに対して自動更新を強制的に適用する措置を取りました。自動更新が有効なサイトの多くは、すでに修正版へ上がっているはずです。ただし自動更新を切っているサイトや、独自に管理しているサイトは手動での更新が必要です。何が起きたのか、どのくらい自分に関係するのかを順に説明します。
この記事の要点(3行)
- WordPress本体に、データベースを不正操作できる欠陥(SQLインジェクション)が2件。組み合わせるとログイン不要でサイト乗っ取り(サーバー上でのプログラム実行)まで至る恐れ。
- 対象はWordPress 6.8〜7.0系の本体。修正版6.8.6・6.9.5・7.0.2が7月17日公開。開発元は強制的な自動更新も発動した。
- 自動更新が有効なら多くはすでに対処済み。管理画面で今のバージョンが6.8.6/6.9.5/7.0.2以降かを必ず確認する。
なぜ「本体の欠陥」は珍しく、重いのか
WordPressの脆弱性の多くは、後から追加する「プラグイン」や「テーマ」(デザイン部品)で見つかります。使っていなければ関係しません。ところが今回は、WordPressを動かす土台そのもの、つまりほぼすべてのWordPressサイトが共通して持っている部分に欠陥が見つかりました。本体の欠陥は数が少なく、その分ニュース性も影響範囲も大きくなります。
今回の2件は、どちらも「SQLインジェクション」と呼ばれる種類の欠陥です。SQLインジェクションとは、サイトが裏で使っているデータベースへの命令文(SQL)に、攻撃者が細工した文字列を紛れ込ませ、本来許されない操作をさせる攻撃です。会員情報や記事、パスワードの断片などが保存されたデータベースを、外部から不正に読み書きされる恐れがあります。
1件目のCVE-2026-60137(危険度9.1)は、記事を検索する内部機能(WP_Query)で「特定の投稿者を除く」という条件を指定する部分(author__not_in)の入力チェックが甘く、そこに不正な命令を差し込めるというものです。2件目のCVE-2026-63030は、複数の操作をまとめて処理する窓口(REST APIの一括処理エンドポイント)で、どの処理を呼んだかを取り違えさせられる欠陥です。単独では地味ですが、1件目と組み合わせるとログインなしでSQLインジェクションを成立させ、そこからサーバー上でのプログラム実行(乗っ取り)にまで到達しうると説明されています。
誰が、何のために狙うのか
この欠陥を狙うのは、古いバージョンのまま放置されたWordPressサイトを、機械的に大量に探し回る攻撃者です。WordPressは世界中で使われているため、攻撃者は「まだ更新していないサイト」をまとめて見つけ、同じ手口で次々と試す動きに出やすいのが実情です。特別に狙われる有名サイトだけの話ではありません。
攻撃者はこの2つの穴をつないで、ログインもせずにサイトのデータベースを不正に操作し、最終的にはサーバー上で好きなプログラムを動かそうとします。乗っ取りに成功すれば、サイトの改ざん、閲覧者を偽サイトへ飛ばす仕掛けの埋め込み、会員情報や注文データの抜き取り、別の攻撃の踏み台化などにつながります。
被害はサイトの運営者だけにとどまりません。乗っ取られたサイトを訪れた一般の閲覧者が、気づかないうちに不正なプログラムを踏まされたり、入力した個人情報を盗まれたりする恐れもあります。企業サイトや通販サイトであれば、顧客への影響と信用の低下に直結します。だからこそ、次に示すバージョン確認と更新を早めに済ませておく必要があります。WordPressのプラグイン側でも乗っ取りにつながる脆弱性は相次いでおり、あわせて人気プラグインの脆弱性をまとめた記事も確認しておくと安心です。
見つかった2件の内訳
| CVE番号 | 内容 | 危険度 | 対象バージョン |
|---|---|---|---|
| CVE-2026-60137 | 投稿検索機能の入力チェック不備による SQLインジェクション | 9.1(緊急) | 6.8〜7.0系 (6.8.6/6.9.5/7.0.2で修正) |
| CVE-2026-63030 | 一括処理窓口の取り違えを悪用し 上記と連鎖してRCEへ | 7.5(高) | 6.9〜7.0系 (6.9.5/7.0.2で修正) |
CVE-2026-60137(CVSS 9.1): 投稿検索の「除外条件」から命令を差し込める
WordPressが記事を絞り込むときに使う内部機能(WP_Query)には、「この投稿者は除く」と指定する項目(author__not_in)があります。この項目に渡された値の点検が不十分で、プラグインやテーマがそこに外部からの入力をそのまま渡していると、攻撃者が細工した命令をデータベースに実行させられます。開発元は「facilitated(条件がそろえば成立する)SQLインジェクション」と表現しており、報告したのはTF1T・dtro・haongoの各氏です。単体では「プラグインやテーマ側が不用意に入力を渡している」ことが前提になりますが、危険度は9.1と高く評価されています。
CVE-2026-63030(CVSS 7.5): 一括処理の取り違えで、認証なしの入り口にしてしまう
WordPressには、複数の操作をまとめて受け付ける窓口(REST APIの一括処理エンドポイント)があります。ここに、どの処理を呼び出したのかを取り違えさせられる欠陥がありました。これ単体では情報を書き換えるような派手さはありませんが、前述のCVE-2026-60137と組み合わせると、本来はログインが要るはずの経路を迂回して、認証なしでSQLインジェクションを成立させ、そこからサーバー上でのプログラム実行(RCE)に至りうると説明されています。報告したのは、セキュリティ企業Assetnote(Searchlight Cyber)のAdam Kues氏です。2つの穴が別々に見えても、つなぐと一気に危険度が上がる典型例です。
自分のサイトは影響を受けるのか(早見表)
影響するかどうかは、いま動かしているWordPress本体のバージョンで決まります。下の表で確認してください。バージョンは管理画面の「ダッシュボード」→「更新」や、画面右下の表示で確認できます。
| いまのバージョン | 影響 | 更新先 |
|---|---|---|
| 7.0.0〜7.0.1 | 2件とも対象 | 7.0.2 |
| 6.9.0〜6.9.4 | 2件とも対象 | 6.9.5 |
| 6.8.0〜6.8.5 | 60137が対象 | 6.8.6 |
| 6.8より前 | 今回の対象外 (別の古い欠陥に注意) | サポート版へ更新推奨 |
| 6.8.6/6.9.5/ 7.0.2以降 | 対処済み | 対応不要 |
WordPressは初期設定で、小さな更新(マイナー更新)を自動で当てるようになっています。今回は開発元が対象バージョンへ自動更新を強制的に適用したため、自動更新を切っていなければ、すでに修正版へ上がっている可能性が高いです。とはいえ、レンタルサーバーの設定や独自の運用で自動更新を止めているケースもあるため、思い込みで済ませず実際のバージョンを確認するのが確実です。
いま何をすればいいのか
まず、管理画面でWordPress本体のバージョンを確認します。6.8.6・6.9.5・7.0.2のいずれか以降になっていれば、今回の2件は対処済みです。それより古ければ、管理画面の「更新」から最新版へ上げてください。多くのレンタルサーバーでは管理画面のボタン一つで更新できます。
自動更新を切っている場合は、この機会に有効に戻しておくことをおすすめします。WordPress本体の欠陥は数こそ少ないものの、見つかると世界中のサイトが一斉に狙われます。更新の取りこぼしを防ぐには、本体のマイナー更新の自動適用を有効にしておくのが最も確実です。プラグインやテーマも古いまま放置しないよう、あわせて7月に相次いだプラグインの脆弱性まとめも見直しておくとよいでしょう。
今回の2件について、現時点で実際に攻撃へ使われたという報告や、米政府機関CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」への登録は確認されていません。ただし、修正版の公開後は差分から手口が推測されやすく、WordPressは狙われやすい代表格です。実際の攻撃が始まっていないかは、攻撃中の脆弱性を追う一覧(日本語版)で確認できます。
よくある質問(FAQ)
Q. 自動更新を有効にしていれば、もう安全ですか?
その可能性が高いです。開発元が対象バージョンへ自動更新を強制適用したため、自動更新が有効なサイトの多くはすでに修正版へ上がっています。ただしレンタルサーバーの設定などで自動更新が止まっている場合もあるので、管理画面で実際のバージョン(6.8.6/6.9.5/7.0.2以降か)を確認してください。
Q. どのくらい危険なのですか?
2件のうちCVE-2026-60137は危険度9.1、CVE-2026-63030は7.5です。単体では条件がそろわないと成立しませんが、2つを組み合わせると、ログイン不要でデータベースを不正操作し、最終的にサーバー上でのプログラム実行(サイト乗っ取り)に至りうると説明されています。WordPress本体の欠陥のため、影響を受けうるサイトの数は非常に多いのが特徴です。
Q. プラグインは関係ありますか?
今回の欠陥はWordPress本体側にありますが、CVE-2026-60137は「プラグインやテーマが特定の項目に外部からの入力を渡している」場合に悪用されやすくなります。いずれにせよ本体を修正版へ更新すれば対処できます。プラグイン側にも別の脆弱性が相次いでいるため、プラグイン・テーマも最新に保つことをおすすめします。
Q. すでに攻撃に使われていますか?
現時点で、実際に攻撃へ使われたという報告や、米CISAの「実際に攻撃されている脆弱性リスト(KEV)」への登録は確認されていません。ただし修正版の公開後は手口が推測されやすくなるため、まだ更新していないサイトは早めの対応が推奨されます。
まとめ
世界の約4割のサイトが使うWordPressの本体に、データベースを不正操作できるSQLインジェクションが2件見つかりました。CVE-2026-60137(9.1)とCVE-2026-63030(7.5)で、この2つを組み合わせると、ログイン不要でサイトを乗っ取られる恐れがあります。プラグインではなく本体側の欠陥のため、影響を受けうるサイトは非常に多いのが特徴です。
救いは、修正版6.8.6・6.9.5・7.0.2が7月17日に公開され、開発元が自動更新まで強制適用したことです。自動更新が有効なら多くはすでに対処済みですが、思い込まず、管理画面で今のバージョンを必ず確認してください。実際の攻撃報告はまだありませんが、WordPress本体の欠陥は世界中のサイトが一斉に狙われやすいため、更新は早めに済ませておくのが安全です。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go