WordPressプラグイン多数に乗っ取りの脆弱性、6月に大量公開で即更新を

2026年6月、WordPressのプラグインに、サイトの乗っ取りや情報流出につながる重大な脆弱性が一斉に公開されました。危険度が最高の10.0（10段階）に達するものが2件含まれ、その多くがログインなしで外部から悪用できるタイプです。対象のプラグインを使っているサイトは、後回しにせず今すぐ更新してください。

プラグインの脆弱性は、WordPress本体ではなく「後付けの拡張機能」に潜みます。本体をいくら最新に保っていても、入れているプラグインの一つに穴があれば、そこからサイト全体が乗っ取られます。今回はとくに、同じ開発元が出している十数種類のフォーム連携プラグインで、まったく同じ型の脆弱性がまとめて見つかったのが特徴です。以下、特に危険なものから順に整理します。

狙うのは人ではなくボット、未更新の1枚が開いた窓になる

「うちは小さなサイトだから狙われない」という感覚は、WordPressに関してはまったく通用しません。今回のように脆弱性が公開されると、攻撃者は人手で一件ずつ標的を選ぶのではなく、世界中のサイトを自動で巡回するプログラム（ボット）を使い、その穴が残っているサイトを片端から探し当てます。サイトの規模や知名度は関係なく、「未更新のプラグインが入っているかどうか」だけが選別基準です。

この穴を踏んだサイトに何が起きるかは、攻撃者の目的によって決まります。通販サイトの決済画面に偽の入力欄を仕込んでクレジットカード番号を盗む集団、サイトに見えないリンクを大量に埋め込んで検索結果を汚す業者、訪問者を偽サイトやウイルス配布ページへ飛ばす攻撃者、乗っ取ったサイトを他の攻撃の踏み台として転売するブローカー、データを暗号化して身代金を要求するランサム集団が、それぞれの狙いで侵入してきます。彼らが手にするのは、会員の氏名・住所・メールアドレス、問い合わせフォームに残された個人情報、管理者のパスワード、そしてサイトそのものです。未更新のプラグインを1つ残しておくことは、その全部を持ち出せる窓を開けたまま放置することと同じです。

とくに今回多いのが、ログインを必要としない（PR:N）タイプの脆弱性です。会員登録すら不要で、フォームやAPIといった「誰でも触れる入口」から成立するため、攻撃の難易度は低く、自動化とも相性が良いのが厄介です。一度乗っ取られたサイトは、本人が気づかないまま長期間、スパムの発信源や詐欺サイトの置き場として使われ続けることもあります。

「危険度10.0」「9.8」という数字は、技術的な深刻さの目盛りにすぎません。個人や小さな事業でサイトを運営している人にとって本当にこたえるのは、流出させた顧客への謝罪と補償、個人情報保護委員会への報告、検索順位の急落、復旧にかかる時間と費用、そして「あのサイトは危ない」という評判のほうです。失うのは「サイト1個」ではなく、積み上げてきた信頼そのものです。

最大級（危険度10.0）の2件は最優先で更新を

まず、危険度が満点の10.0に達した2件です。どちらもログインなしで、サーバー上で攻撃者の用意した処理を実行させられる恐れがあります。該当プラグインを使っているなら、何よりも先に対応してください。

CVE-2026-40772：AIチャットボット「GeekyBot」（危険度10.0）

CVE-2026-40772は、サイトにAIチャットボットや問い合わせ自動応答を追加するプラグイン「GeekyBot」（バージョン1.2.2以前）の脆弱性です。認証なしで任意のファイルをアップロードできる不備（CWE-434）で、悪意あるプログラムファイルを送り込まれるとサーバー上で実行され、サイトを乗っ取られる恐れがあります。最新版へ更新してください。

CVE-2026-48836：請求書作成「Easy Invoice」（危険度10.0）

CVE-2026-48836は、請求書を作成・管理するプラグイン「Easy Invoice」（バージョン2.1.19以前）の脆弱性です。認証なしでサーバー上にコードを送り込み実行できる不備（CWE-94、コードインジェクション）で、こちらもサイト全体の乗っ取りに直結します。最新版へ更新してください。

フォーム連携プラグインで「同じ型の穴」が一斉に

今回の大きな特徴が、同じ開発元が提供する一連の「フォーム連携プラグイン」で、まったく同じ型の脆弱性がまとめて公開されたことです。これらは、Contact Form 7・WPForms・Elementor・Ninja Formsといった人気の入力フォームと、ActiveCampaign・HubSpot・Keap などの顧客管理サービス（CRM）をつなぐためのプラグインです。共通のコードを使い回しているため、その共通部分に穴があると、製品名は違っても一斉に同じ脆弱性を抱えることになります。

いずれも認証なしのPHPオブジェクトインジェクション（CWE-502、信頼できないデータの復元処理を悪用する攻撃）で、危険度は軒並み9.8です。代表的なものを挙げますが、今回はこれら以外にも同型の脆弱性が多数（CVE-2026-49104〜49109、CVE-2026-49763〜49770、CVE-2026-49781 ほか）公開されています。フォームとCRMを連携させるこの種のプラグインを使っているなら、製品名で安心せず、すべて最新版に更新してください。

そのほかの重大な脆弱性

上記以外にも、危険度9以上の脆弱性が多数公開されています。広く使われているものや認証不要のものを中心に、主なものを一覧にまとめます。いずれも対応は最新版への更新です。

ここに挙げたのは公開された脆弱性の一部です。危険度や影響版の正確な情報、修正版の番号は、各プラグインの配布ページやPatchstackの脆弱性データベース、NVDで確認できます。

いますぐやるべきこと

対応はシンプルで、使っているプラグインをすべて最新版へ更新することに尽きます。WordPressの「プラグイン」画面に更新通知が出ているはずなので、まとめて適用してください。すでに使っていないプラグインは、停止するだけでなく削除しておくと、こうした脆弱性が出たときの影響を受けません。

あわせて、更新前にすでに侵入されていなかったかも点検しておきたいところです。身に覚えのない管理者アカウントが増えていないか、サイトのファイルに不審なPHPファイルが置かれていないか、見慣れない投稿やリダイレクトがないかを確認してください。判断がつかない場合は、バックアップから復元したうえで早めに専門家へ相談するのが安全です。本サイトでは過去にも、WPCodeの任意コード実行（CVE-2026-8832）やGravity Formsなど4件のまとめ、WooCommerce請求書プラグインの認証なし乗っ取り（CVE-2026-52704）を取り上げてきました。プラグインは「入れたら終わり」ではなく、本体と同じく更新を続ける対象だと考えることが、最も基本的な防御です。

外部から取り込んだ部品（プラグインやライブラリ）に脆弱性が混ざる問題は、WordPressに限らずどの環境でも起こります。npmやPythonの依存であれば、本サイトのOSS脆弱性スキャナーで貼り付けるだけのチェックもできます。

悪用状況と、いま見ておくべきこと

2026年6月16日時点で、今回公開された各脆弱性が実際の攻撃に使われたという報告はなく、米政府機関が攻撃に悪用されている脆弱性をまとめるCISAのKEVカタログにも登録されていません。攻撃に悪用されている脆弱性の最新状況は、本サイトのCISA KEV日本語ダッシュボードでまとめて確認できます。

ただし、認証なしで悪用できる脆弱性は、公開をきっかけに無差別な探索が始まるのが通例です。「まだ攻撃されていない」ことは「更新しなくてよい」ことを意味しません。修正版が出ている今のうちに更新を済ませておくのが、最も確実な防御です。

参照元

• ▸ NVD - CVE-2026-48836（Easy Invoice、危険度10.0）
• ▸ NVD - CVE-2026-40772（GeekyBot、危険度10.0）
• ▸ Patchstack - WordPress 脆弱性データベース
• ▸ MITRE - CWE-502: Deserialization of Untrusted Data（PHPオブジェクトインジェクション）
• ▸ CISA - Known Exploited Vulnerabilities Catalog