WordPress『Gravity Forms』など4件に脆弱性、CVE-2026-48866を即更新
WordPressの人気プラグイン4製品に深刻な脆弱性。フォーム作成のGravity Forms(CVE-2026-48866)でファイル削除、Contest Gallery・wpForo・AIWUで権限奪取が可能。多くが無認証で悪用でき、修正版への即更新が必要です。
堀川 慎
Backend Engineer / AWS / Django / Go
WordPressの人気プラグイン4製品に深刻な脆弱性。フォーム作成のGravity Forms(CVE-2026-48866)でファイル削除、Contest Gallery・wpForo・AIWUで権限奪取が可能。多くが無認証で悪用でき、修正版への即更新が必要です。
企業や個人のサイト作りで広く使われるWordPressの人気プラグイン4製品に、サイトを乗っ取られたりファイルを消されたりしかねない重大な欠陥が、相次いで公表されました。脆弱性を追跡するPatchstackが2026年6月1日(米国時間)に開示したもので、危険度はCVSSという10点満点の深刻度指標で最大9.8(最高ランク)。問い合わせフォーム作成の定番Gravity Forms(グラビティフォームズ)のCVE-2026-48866を含みます。
4件のうち3件はログイン不要(無認証)で悪用でき、その多くが攻撃者にサイトの管理者権限を奪われる「権限昇格」型です。WordPressは世界のWebサイトの4割超、日本国内でもCMS(サイト管理ソフト)シェアの8割を占めると言われ、対象プラグインのいずれかを使っているサイトは膨大です。本記事では、どのプラグインが危ないのか、何をされるのか、いま何をすべきかを順番に整理します。
公表された4件の脆弱性の概要
まず、今回まとめて公表された4件を一覧にします。最も深刻なのは無認証で管理者権限を奪える権限昇格(CVSS 9.8)で、Gravity Formsのファイル削除(9.6)がそれに続きます。いずれも修正版が同時に公開されているため、対象バージョンを使っているサイトはすぐ更新するだけで塞げます。
| 整理番号 | プラグイン | 欠陥の種類 | 深刻度 | ログイン要否 | 影響バージョン | 修正版 |
|---|---|---|---|---|---|---|
| CVE-2026-42680 | Contest Gallery Pro | 権限昇格 | 9.8(緊急) | 不要 (誰でも) | 29.0.1 以前 | 29.0.2 |
| CVE-2026-48879 | AIWU | 権限昇格 | 9.8(緊急) | 不要 (誰でも) | 1.4.17 以前 | 1.4.19 |
| CVE-2026-48866 | Gravity Forms | 任意の ファイル削除 | 9.6(緊急) | 不要 +利用者操作 | 2.10.0.1 以前 | 2.10.1 |
| CVE-2026-42682 | wpForo Forum | アクセス制御 の不備 | 9.1(緊急) | 不要 (誰でも) | 3.0.6 以前 | 3.0.7 |
「権限昇格」とは、本来は何の権限も持たない相手が、サイトを自由にできる管理者などの強い権限を勝手に手に入れてしまうこと。「無認証」はそれをログインなしでできるという意味で、両方そろうと最悪の組み合わせになります。詳しくは後ほど1件ずつ解説します。
玄関の鍵が、通りすがりの誰にでも渡されていた
今回の4件で一番危ういのは、3件がログインすら要らず、踏まれた瞬間にサイトの管理者権限ごと持っていかれる点です。狙うのは、改ざんサイトに偽の決済画面を仕込む詐欺グループ、スパムや偽ブランド品サイトを量産する業者、検索結果に有害ページを潜り込ませるSEO汚染の請負人、ランサムウェアで身代金を稼ぐ犯罪集団です。乗っ取られたサイトには、フォームに書かれた氏名・住所・電話番号、会員のメールとパスワード、通販のカード情報、管理画面への鍵が溜まっています。無認証の権限昇格が一度踏まれれば、それらを守る管理者の椅子がまるごと見知らぬ他人に奪われてしまいます。
奪った先で起きるのは、サイトが落ちて終わり、ではありません。攻撃者は裏口(バックドア)を仕込み、決済ページに偽の入力欄を重ねて、訪れた客のカード番号を抜き取ります。盗んだ顧客名簿は闇サイトで売られ、その名簿を使った「ご注文に問題が」という偽メールが本物そっくりに届く——一つのサイトの陥落が、客一人ひとりのアカウント乗っ取りへ連鎖します。Gravity Formsのファイル削除なら、中核ファイルを消して表示ごと止め、復旧と引き換えの脅迫材料にもなります。
後始末は、運営する会社や個人に返ります。顧客情報が漏れれば本人への通知と個人情報保護委員会への報告が発生し、改ざんページからマルウェアをばらまけば訪問者対応や損害賠償まで背負います。CVSS 9.8という数字に、その信用の失墜や復旧の手間は載りません。プラグインを一つ更新できるかどうかが、その重さを背負わずに済むかの分かれ目です。
そもそもなぜWordPressの「プラグイン」が狙われるのか
WordPressは、専門知識がなくてもサイトを作って更新できる無料のソフトで、機能を後から自由に足せるのが特徴です。この「後から足す追加機能」がプラグインで、問い合わせフォーム、写真ギャラリー、掲示板、ネット通販など、世界に数万種類が公開されています。便利な一方で、プラグインは外部の開発者がそれぞれ作っているため、本体は安全でもプラグイン側に穴が空いていれば、そこからサイト全体が乗っ取られてしまうのが弱点です。
攻撃者にとってWordPressプラグインの脆弱性は、効率のいい標的です。同じプラグインが何万・何十万というサイトに同じ形で入っているため、欠陥が一つ見つかれば、その全部を同じ手口で機械的に攻められます。実際にPatchstackは今回のwpForoについて、サイトの規模を問わず大量攻撃のキャンペーンで悪用されると見込まれる、と注意を促しています。WordPress本体ではなくプラグインの脆弱性が毎週のように報告されるのは、こうした「使い回しの利く穴」だからです。当ブログでもWPCodeやACF Extendedなど、同種の事案を繰り返し取り上げてきました。
今回の4件はいずれも、脆弱性報奨金の仕組みを通じてセキュリティ研究者がPatchstackに報告し、開発元が修正版を出したうえで公表されたものです。つまり、攻撃者が先に見つけて悪用する「ゼロデイ」ではなく、すでに直す手段が用意された状態で世に出ています。逆に言えば、公表された情報を見て攻撃者が手口を組み立てるのもこれからなので、更新が早いほど安全で、放置するほど危険という時間との競争になります。
CVE-2026-42680:写真コンテスト用プラグイン「Contest Gallery Pro」で管理者権限を奪われる
1件目のCVE-2026-42680は、写真の投稿コンテストや会員ギャラリーを作れる有料プラグイン「Contest Gallery Pro」の欠陥です。種類は「権限昇格(不適切な権限割り当て)」で、危険度はCVSS 9.8。Patchstackの勧告によると、ログインなしの攻撃者が低い権限のアカウントをより強い権限へ引き上げられ、最終的にサイト全体の乗っ取りにつながる恐れがあります。
影響を受けるのはバージョン29.0.1以前で、開発元は29.0.2で修正済みです。発見者はセキュリティ研究者のdaroo氏。会員サイトやファンコミュニティでこのプラグインを使っている場合は、最優先で更新してください。
CVE-2026-48879:AI記事作成プラグイン「AIWU」で権限昇格
2件目のCVE-2026-48879は、AIで記事や文章を自動生成する「AIWU(AI Copilot Content Generator)」というプラグインで見つかりました。こちらも欠陥の種類は権限昇格で、危険度はCVSS 9.8。Patchstackの勧告では、ログイン不要で低権限アカウントを引き上げられ、サイトを完全に乗っ取られる可能性があるとしています。
影響を受けるのはバージョン1.4.17以前で、1.4.19で修正されています。発見者は同じくdaroo氏。厄介なのは、AIで記事を量産するために導入したプラグインが、そのままサイトの入口になりかねない点です。使っていれば即更新を推奨します。
CVE-2026-48866:定番フォーム「Gravity Forms」でサイトのファイルを削除される
3件目のCVE-2026-48866は、企業サイトの問い合わせ・申込フォーム作成で広く使われる有料プラグイン「Gravity Forms」の欠陥です。種類は「任意のファイル削除(パストラバーサル)」で、危険度はCVSS 9.6。Patchstackの勧告によると、攻撃者がサイト内のファイルを消すことができ、サイトを動かす中核ファイルが消されると表示が壊れて機能停止に陥る恐れがあります。
ほかの3件と違い、これは攻撃者が用意した不正なリンクを利用者に踏ませる「利用者操作」が必要なため、ログイン自体は不要でも一手間かかります。それでも危険度が9.6と高いのは、フォームという、外部の不特定多数が触れる入口に存在する欠陥だからです。影響はバージョン2.10.0.1以前、修正は2.10.1。発見者はdaroo氏です。Gravity Formsをめぐっては、2025年に公式の配布ファイルにマルウェアが混入する事件も起きており、利用サイトは更新情報の確認を習慣づけることをおすすめします。
CVE-2026-42682:掲示板プラグイン「wpForo Forum」のアクセス制御不備
4件目のCVE-2026-42682は、サイト内に掲示板(フォーラム)を作れる「wpForo Forum」の欠陥です。種類は「アクセス制御の不備(認可・認証・トークン確認の欠落)」で、危険度はCVSS 9.1。Patchstackの勧告は、本来は権限のあるアカウントだけが行えるはずの操作を、ログインしていない第三者が実行できてしまうと説明しています。
前述の通りPatchstackは、この欠陥がサイトの規模を問わず大量攻撃のキャンペーンで悪用されると見込んでおり、警戒度が高い案件です。影響はバージョン3.0.6以前、修正は3.0.7。発見者はTiago Ventura氏(@perses)です。ユーザー同士が書き込めるコミュニティ掲示板を運営している場合は、ただちに更新してください。
今のところ悪用報告はないが、油断はできない
確認できている事実と、まだ確定していないことを分けて整理します。安心材料と警戒材料の両方を正しくつかむことが、対応の優先度を決める助けになります。
✓ 確認済みの事実
- ✓4件とも開発元が修正版を公開済み(Patchstack)
- ✓2026年6月1日時点で、米CISAの悪用が確認された脆弱性リスト(KEV)には未登録
- ✓4件中3件はログイン不要、最大の深刻度はCVSS 9.8
? まだ確定していないこと(警戒材料)
- ?攻撃コードが今後出回るかどうか ― 公表済みのため、攻撃者の手口づくりはこれから進む可能性
- ?wpForoはPatchstackが「大量攻撃で悪用される見込み」と予測 ― 実際の観測はまだ
WordPressプラグインの権限昇格は、過去にも公表からほどなくして自動化された大量スキャンの標的になった例が数多くあります。「今は悪用報告がない」は「これからも安全」を意味しません。攻撃が広がる前に塞げる今のうちに更新を済ませるのが、もっとも確実な守りです。
サイト管理者がいま確認すべきこと
最優先は、対象4プラグインのいずれかを使っていないかの確認と、使っていれば修正版への更新です。WordPressの管理画面から「プラグイン」を開けば、導入済みのプラグイン名と現在のバージョンが一覧で見られます。Contest Gallery Proは29.0.2、AIWUは1.4.19、Gravity Formsは2.10.1、wpForo Forumは3.0.7が、それぞれ安全な最新版です。自動更新を有効にしている場合でも、反映されているかを必ず目視で確認してください。
使っていないのに無効化したまま残しているプラグインがあれば、この機会に削除しておくと安全です。無効でもファイルがサーバーに残っていると、攻撃の足がかりにされることがあります。あわせて、見覚えのない管理者アカウントが増えていないか、サイトの表示や検索結果に不審なページが混じっていないかも点検しておくと、すでに侵入されていた場合の早期発見につながります。
制作会社や運用代行に任せている場合は、対応状況を問い合わせるのが早道です。国内の企業・官公庁で広く使われる製品の脆弱性をまとめて追いたい場合は、2026年上半期、日本企業をねらった重大な脆弱性まとめもあわせて確認してください。
よくある質問
Q. 4つとも使っていなければ大丈夫ですか?
A. 今回の4件に関しては、対象プラグインを使っていなければ直接の影響はありません。ただしWordPressプラグインの脆弱性は毎週のように報告されています。導入しているプラグインを自動更新にしておく、使っていないものは削除する、という基本の備えが、今後の別の脆弱性への一番の対策になります。
Q. 無料版のContest GalleryやwpForoも危険ですか?
A. CVE-2026-42680の対象は有料版の「Contest Gallery Pro」29.0.1以前です。一方wpForo Forumは無料版で、3.0.6以前が対象です。いずれも管理画面のバージョン表示で自社の状況を確認し、対象なら最新版へ更新してください。
Q. すでに攻撃されていないか確認する方法はありますか?
A. 完全な確認は専門家による調査が必要ですが、まずは管理者アカウントの一覧に見覚えのないユーザーがいないか、投稿や固定ページに身に覚えのないものが追加されていないか、サイトの表示が崩れていないかを点検してください。不審な点があれば、修正版を当てたうえでパスワードの変更や制作会社への相談を検討します。
Q. なぜ複数のプラグインで同時に公表されたのですか?
A. これらはセキュリティ研究者がPatchstackの脆弱性報奨金プログラムを通じて報告したもので、各開発元が修正版を用意できた段階でまとめて公開されました。同じ日付に並ぶのは偶然というより、報告と修正の調整が整ったタイミングが重なったためです。攻撃者に先回りされる前に修正を行き渡らせる狙いがあります。
まとめ
WordPressの人気プラグイン4製品で、最大CVSS 9.8の重大な脆弱性が同時に公表されました。Contest Gallery ProとAIWUは無認証でサイトを乗っ取れる権限昇格、Gravity Formsはファイル削除、wpForo Forumはアクセス制御の不備で、いずれも修正版がすでに出ています。現時点で悪用の報告はありませんが、WordPressプラグインの欠陥は公表後に大量攻撃の標的になりやすく、安全と危険を分けるのは更新の早さです。対象プラグインを使っているサイトは、Contest Gallery Pro 29.0.2/AIWU 1.4.19/Gravity Forms 2.10.1/wpForo Forum 3.0.7への更新を、今日のうちに済ませてください。
参照元
- ▸NVD - CVE-2026-48866(Gravity Forms 任意ファイル削除)
- ▸NVD - CVE-2026-42680(Contest Gallery Pro 権限昇格)
- ▸NVD - CVE-2026-42682(wpForo Forum アクセス制御不備)
- ▸NVD - CVE-2026-48879(AIWU 権限昇格)
- ▸Patchstack - Gravity Forms <= 2.10.0.1 Arbitrary File Deletion
- ▸Patchstack - Contest Gallery Pro <= 29.0.1 Privilege Escalation
- ▸Patchstack - wpForo Forum <= 3.0.6 Broken Access Control
- ▸Patchstack - AIWU <= 1.4.17 Privilege Escalation
- ▸Gravity Forms - Security Incident Notice(2025年の配布ファイル汚染)
- ▸Kinsta - WordPress Market Share Statistics