WordPressの拡張機能で乗っ取りの欠陥が一挙28件、最悪の10点満点が2件 ― 対象プラグイン一覧と対処(2026年7月13日)
2026年7月13日の夜、WordPressの拡張機能(プラグイン・テーマ)で危険な欠陥が一挙28件公開されました。危険度9以上が16件、うち最悪の10点満点が2件で、多くはログイン不要でサイト乗っ取りや会員情報の抜き取りが可能です。予約プラグインのAmelia・LatePoint、多くのテーマに組み込まれるKirkiなども対象。使っているプラグインが対象か一覧で確認でき、今すぐの対処もわかります。
目次
2026年7月13日の夜、WordPressの拡張機能(プラグイン・テーマ)で危険な欠陥が一挙28件公開されました。危険度9以上が16件、うち最悪の10点満点が2件で、多くはログイン不要でサイト乗っ取りや会員情報の抜き取りが可能です。予約プラグインのAmelia・LatePoint、多くのテーマに組み込まれるKirkiなども対象。使っているプラグインが対象か一覧で確認でき、今すぐの対処もわかります。
2026年7月13日の夜、WordPressサイトに機能を足す拡張機能(プラグインとテーマ)で、危険な欠陥が一挙に28件公開されました。このうち危険度が9.0以上(10点満点)の重大なものが16件あり、そのうち2件は最悪の10.0(満点)です。多くはログインなしで、いきなりサイトを乗っ取ったり、会員情報を抜き取ったりできる種類のもので、有名な予約プラグイン「Amelia」「LatePoint」や、多くのテーマに組み込まれている土台部品「Kirki」なども対象に含まれます。自分のサイトで使っているものがないか、この記事の一覧で確認してください。
この記事は、世界の脆弱性データベース(NVD)に同日まとめて登録された28件を、危険度と「攻撃にログインが必要かどうか」で整理したものです。WordPressサイトを自分で運営している人が主な対象で、普段WordPressサイトを見るだけの一般利用者に直接の危険はありません。ただし、だれでも会員登録できるサイトや、外部ライターに投稿権限を配っているサイトは、この後で説明するとおり注意が必要です。この日のWordPress以外の脆弱性は、7月13日のセキュリティ脆弱性まとめで扱っています。同じような大量公開は2026年6月にも起きており、繰り返し発生しています。
何が起きたのか。1日で28件、うち満点が2件
今回公開された28件は、いずれもWordPressの拡張機能(プラグイン)や見た目を決めるテーマに含まれる欠陥です。バラバラの製品ですが、攻撃者の狙いどころは大きく次の4種類に分かれます。
- ・危険なファイルの設置:プログラムを仕込んだファイルをサーバーに置かせ、サイトを乗っ取る(10.0の2件がこれに近い型です)。
- ・会員情報などの抜き取り:データベースをだます命令を送り込み、保存された情報を盗む(「SQLインジェクション」と呼ばれる手口)。
- ・安全でないデータの復元:保存データを元に戻す処理を悪用し、不正な動作をさせる(「オブジェクト注入」と呼ばれる手口)。
- ・権限の格上げ:低い権限のアカウントを、管理者に格上げしてしまう。
重要なのは「攻撃にログインが必要かどうか」です。ログイン不要のものは、だれでもいきなり悪用できるため即座の脅威です。ログインが必要なものは一段軽く見えますが、だれでも会員登録できるサイトや、外部に投稿権限を配っているサイトでは、攻撃者はそのアカウントを正規に取得できてしまうため油断できません。以下、危険度9.0以上の16件、8点台の12件の順に整理します。危険度は10点満点です。
最優先。危険度9.0以上の16件(多くはログイン不要)
まず、いちばん危険な16件です。16件中12件はログイン不要で、悪用の条件が整えばだれでも攻撃できます。使っているものがあれば、最新版への更新を最優先で確認してください。
| CVE番号 | プラグイン/テーマ | 何が起きる | 危険度 | ログイン | 状態 |
|---|---|---|---|---|---|
| CVE-2026-57719 | Aimogen Pro | 危険なファイル設置 →乗っ取り | 10.0 | 不要 | 悪用報告なし |
| CVE-2026-57811 | Realtyna Organic IDX | 命令の注入 →乗っ取り | 10.0 | 不要 | 悪用報告なし |
| CVE-2026-57401 | SureDash | ファイルの 不正読み取り | 9.9 | 要ログイン | 悪用報告なし |
| CVE-2026-57710 | WoowBot Pro Max | 危険なファイル設置 | 9.9 | 要ログイン | 悪用報告なし |
| CVE-2026-57724 | Kirki | 安全でないデータ復元 →乗っ取り | 9.8 | 不要 | 悪用報告なし |
| CVE-2026-57738 | 777 triple-seven (テーマ) | 安全でないデータ復元 | 9.8 | 不要 | 悪用報告なし |
| CVE-2026-57744 | rt18-extensions | 安全でないデータ復元 | 9.8 | 不要 | 悪用報告なし |
| CVE-2026-57770 | Grand Photography (テーマ) | 安全でないデータ復元 | 9.8 | 不要 | 悪用報告なし |
| CVE-2026-57813 | MailOptin | 権限の格上げ (管理者化) | 9.8 | 不要 | 悪用報告なし |
| CVE-2026-59518 | Directorist | 安全でないデータ復元 | 9.8 | 不要 | 修正8.8.3 |
| CVE-2026-57702 | Amelia (予約) | 情報の抜き取り | 9.3 | 不要 | 悪用報告なし |
| CVE-2026-57707 | Simple Business Directory Pro | 情報の抜き取り | 9.3 | 不要 | 修正15.9.5 |
| CVE-2026-57714 | LatePoint (予約) | 情報の抜き取り | 9.3 | 不要 | 悪用報告なし |
| CVE-2026-57726 | Kirki | 情報の抜き取り | 9.3 | 不要 | 悪用報告なし |
| CVE-2026-57739 | AcyMailing | 情報の抜き取り | 9.3 | 不要 | 悪用報告なし |
| CVE-2026-59515 | AI Copilot Content Generator | 情報の抜き取り | 9.3 | 不要 | 悪用報告なし |
満点10.0の2件: ログインなしでサイトを丸ごと乗っ取られる
今回の28件でとくに危険なのが、危険度が満点の10.0となった2件です。Aimogen Pro(AIで文章や画像を生成する拡張、〜2.8.3、CVE-2026-57719)は、ファイルの種類チェックが不十分で、ログインなしにプログラムを仕込んだ危険なファイルを設置できます(危険な種類のファイルのアップロード)。Realtyna Organic IDX(不動産物件を表示する拡張、〜5.2.0、CVE-2026-57811)は、外部から渡された文字列をそのままプログラムとして動かせてしまう欠陥(コードの注入)です。どちらもログイン不要でサイトの制御を奪えるため、該当プラグインを使っている場合は、更新できるまで一時的に無効化することも検討してください。
ログイン不要の乗っ取り・情報抜き取り: 有名プラグインも多数
危険度9.8の一群は、いずれも「安全でないデータの復元」(オブジェクト注入)や権限の格上げで、ログインなしにサイトを乗っ取られる恐れがあります。中でもKirki(CVE-2026-57724ほか)は、多くのテーマに部品として組み込まれている土台のツールで、利用者自身が「使っている」と気づいていない場合がある点に注意が必要です。ディレクトリ作成のDirectorist(CVE-2026-59518、修正8.8.3)、メール配信のMailOptin(CVE-2026-57813)なども含まれます。危険度9.3の一群は、会員情報などを盗むSQLインジェクションで、予約管理の定番Amelia(CVE-2026-57702)とLatePoint(CVE-2026-57714)、メール配信のAcyMailing(CVE-2026-57739)など、利用者の多いプラグインが並びます。予約や会員管理のプラグインは氏名・連絡先・予約履歴といった個人情報を扱うため、盗まれた場合の影響が大きく、優先して更新を確認してください。
ログインが必要な9.9の2件: 条件つきだが危険度は高い
危険度9.9のSureDash(会員向けダッシュボードを作る拡張、〜1.8.0、CVE-2026-57401)とWoowBot Pro Max(買い物チャットの拡張、〜14.1.7、CVE-2026-57710)は、悪用に低い権限のログインが必要です。数字は高いものの、いきなり外部から乗っ取られるものではありません。ただし、会員登録を開放しているサイトでは攻撃者がその権限を正規に得られるため、対象なら早めの更新を勧めます。
危険度8点台の12件(多くはログインが前提)
危険度8.5〜8.8の12件は、多くが悪用にログインを前提とします。とはいえ、無認証で悪用できるものも混じっているため、使っているものがあれば同様に更新を確認してください。
| CVE番号 | プラグイン | 何が起きる | 危険度 | ログイン |
|---|---|---|---|---|
| CVE-2026-57371 | WPJAM Basic | 安全でないデータ復元 | 8.8 | 要ログイン |
| CVE-2026-57386 | aBlocks | 権限の格上げ | 8.8 | 要ログイン |
| CVE-2026-57410 | MailerPress | 権限の格上げ | 8.8 | 要ログイン |
| CVE-2026-57713 | Events Manager | 安全でないデータ復元 | 8.8 | 不要 (リンク誘導) |
| CVE-2026-57786 | WorkScout Core | 偽リクエストで 認証の回避 | 8.8 | 不要 (リンク誘導) |
| CVE-2026-57389 | Groundhogg | ファイルの 不正読み取り | 8.6 | 不要 |
| CVE-2026-57709 | Membership for WooCommerce | ファイルの 不正読み取り | 8.6 | 不要 |
| CVE-2026-57385 | Vitepos | 情報の抜き取り | 8.5 | 要ログイン |
| CVE-2026-57787 | CWS SVGicons | 情報の抜き取り | 8.5 | 要ログイン |
| CVE-2026-57810 | Square for WooCommerce | 情報の抜き取り | 8.5 | 要ログイン |
| CVE-2026-57771 | GD Rating System | 情報の抜き取り | 8.5 | 要ログイン |
| CVE-2026-57772 | WP Inventory Manager | 情報の抜き取り | 8.5 | 要ログイン |
この中でも、顧客管理のGroundhogg(CVE-2026-57389)とサブスク管理のMembership for WooCommerce(CVE-2026-57709)は、ログインなしでサーバー上のファイルを不正に読み取られる恐れがあり、8点台の中でもとくに注意が必要です。ネットショップ関連のSquare for WooCommerce(CVE-2026-57810)やVitepos(CVE-2026-57385)も、扱う情報の性質上、放置は避けたいところです。なお、同じ7月13日にはWordPress以外にもルーター機器などの欠陥が公開されており、そちらは7月13日のセキュリティ脆弱性まとめで扱っています。
なぜWordPressで、この規模の大量公開が繰り返されるのか
1日で28件という数は多く見えますが、こうした「まとめて公開」はWordPressでは珍しくありません。2026年6月にも同様の大量公開があったとおり、月に何度も起きています。筆者の見るところ、背景には次の事情があります。
第一に、WordPressは世界のWebサイトの4割超で使われ、拡張機能(プラグイン)の数は数万にのぼります。作り手も規模もさまざまで、セキュリティの作り込みに差が出やすいのが実情です。第二に、今回のように似た種類の欠陥(SQLインジェクションやオブジェクト注入)が同じ日に並ぶのは、セキュリティ企業が多数のプラグインを横断的に検査し、修正版が出そろった段階でまとめて公表しているためです。つまり大量公開は「危険が急に増えた」というより、点検が働いている証でもあります。第三に、Kirkiのように他のプラグインやテーマに部品として組み込まれる土台のツールが狙われると、それを間接的に使っている多数のサイトへ一度に影響が広がります。利用者が「入れた覚えのない部品」の欠陥に巻き込まれるのは、この構造が原因です。
対策の考え方はシンプルです。プラグインやテーマは「攻撃される入口」を増やす行為でもあるため、使っていないものは削除し、残すものは自動更新を有効にする。そして、自分のサイトがどの部品を抱えているかを定期的に把握することです。導入している部品(オープンソース)の欠陥をまとめて洗い出す方法は、オープンソース部品(サプライチェーン)の脆弱性を点検する仕組みで解説しています。
まとめ。WordPress運営者が今すぐやるべきこと
今回の28件は、WordPressサイトを運営している人が対象で、サイトを見るだけの一般利用者に直接の危険はありません。運営者がやるべきことは次のとおりです。
- 1.管理画面の「更新」を開き、上の一覧にあるプラグイン・テーマを最新版へ更新する。とくに満点10.0のAimogen Pro・Realtyna Organic IDXと、ログイン不要の9.8〜9.3の各件を優先する。
- 2.すぐ更新できないものは一時的に無効化する。使っていないプラグイン・テーマは削除する。
- 3.だれでも会員登録できる設定や、外部への投稿権限の付与は必要な範囲にとどめる。ログインが前提の欠陥は、この見直しで悪用条件を崩せます。
実際に攻撃が観測されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)で追えます。今回の28件は、現時点でいずれもこのリストには登録されておらず、実際の攻撃も確認されていません。とはいえ、詳細が公開された脆弱性は攻撃側にも研究されるため、更新は早いほど安全です。この日のWordPress以外の脆弱性は7月13日のセキュリティ脆弱性まとめ、前回の大量公開は2026年6月のWordPressプラグイン脆弱性まとめで確認できます。
参照元
- ▸NVD - CVE-2026-57719(Aimogen Pro/10.0)
- ▸NVD - CVE-2026-57811(Realtyna Organic IDX/10.0)
- ▸NVD - CVE-2026-57401(SureDash)
- ▸NVD - CVE-2026-57710(WoowBot Pro Max)
- ▸NVD - CVE-2026-57724(Kirki/オブジェクト注入)
- ▸NVD - CVE-2026-57726(Kirki/SQLインジェクション)
- ▸NVD - CVE-2026-57738(777 triple-seven)
- ▸NVD - CVE-2026-57744(rt18-extensions)
- ▸NVD - CVE-2026-57770(Grand Photography)
- ▸NVD - CVE-2026-57813(MailOptin)
- ▸NVD - CVE-2026-59518(Directorist)
- ▸NVD - CVE-2026-57702(Amelia)
- ▸NVD - CVE-2026-57707(Simple Business Directory Pro)
- ▸NVD - CVE-2026-57714(LatePoint)
- ▸NVD - CVE-2026-57739(AcyMailing)
- ▸NVD - CVE-2026-59515(AI Copilot Content Generator)
- ▸NVD - CVE-2026-57389(Groundhogg)ほか8点台12件

堀川 慎
Backend Engineer / AWS / Django / Go