【緊急】WordPressに致命的な脆弱性「wp2shell」が発見されました — すぐにアップデートを


まず結論から

WordPress 6.9.0〜7.0.1を使っている場合、今すぐアップデートしてください。

ログインなしで、誰でもあなたのサイトを完全に乗っ取れる脆弱性が見つかりました。

WordPress公式は「強制自動アップデート」を有効化していますが、念のため管理画面でバージョンを確認してください。


この記事のポイント

項目内容
脆弱性の名前wp2shell
正式な番号CVE-2026-63030
深刻さ最高レベル(Critical)
攻撃に必要なものなし(ログイン不要、プラグイン不要、デフォルト設定で攻撃可能)
修正バージョンWordPress 7.0.2 / 6.9.5 / 6.8.6
発見者Adam Kues(Searchlight Cyber / Assetnote)

何が起きたのか?

簡単に言うと…

WordPressの「REST API」という機能に穴が開いていて、匿名の訪問者が1回のHTTPリクエストを送るだけで、あなたのサーバー上で任意のコードを実行できてしまうというものです。

つまり、攻撃者は以下のようなことが可能になります:

  • サイトの完全な乗っ取り
  • データベースの閲覧・改ざん
  • 悪意あるファイルの設置
  • SEOスパムの注入
  • ランサムウェアの展開

なぜこれが特に危険なのか

通常、WordPressの脆弱性は「特定のプラグインを入れている場合」や「管理者権限を持っている場合」に限定的です。

しかし今回の脆弱性はWordPress本体(コア)の問題であり、プラグインの有無や特殊な設定に関係なく、デフォルトインストールのままで攻撃可能です。

WordPress公式のリリースノートでは、この脆弱性を以下のように説明しています:

「REST API batch-route confusion and SQL injection issue leading to Remote Code Execution」
(REST APIのバッチリクエストのルート混乱とSQLインジェクションの問題が、リモートコード実行につながる)

エントリーポイントとなるのは /wp-json/batch/v1 というエンドポイントです。


影響を受けるバージョン

使用中のバージョン影響対応
WordPress 6.8.6 以前(6.8系)SQLインジェクションのみ影響6.8.6へアップデート
WordPress 6.9.0 〜 6.9.4RCE + SQLインジェクション 両方影響6.9.5へアップデート
WordPress 7.0.0 〜 7.0.1RCE + SQLインジェクション 両方影響7.0.2へアップデート
WordPress 7.1 Beta 1RCE + SQLインジェクション 両方影響7.1 Beta 2へアップデート
WordPress 6.8.5 以前影響なしそのままでOK

※ 脆弱なコードはWordPress 6.9(2025年12月2日リリース)から存在します。それ以前のバージョンはRCEの影響を受けません


すぐにやるべきこと

1. バージョンを確認する

WordPress管理画面 → 「ダッシュボード」 → 「更新」に進み、現在のバージョンを確認してください。

  • 7.0.2 になっていればOK
  • 6.9.5 になっていればOK(6.9系を継続使用の場合)
  • 6.8.6 になっていればOK(6.8系を継続使用の場合)

2. 自動アップデートが適用されているか確認する

WordPress.orgはこの脆弱性の深刻さを受け、影響を受けるバージョンに対して強制自動アップデートを有効化しています。

ただし、以下の場合は自動更新が適用されない可能性があります:

  • 管理画面で自動更新を無効にしている
  • ホスティング環境で自動更新がブロックされている
  • バージョン管理システム(Git等)で運用している

必ず管理画面で実際のバージョンを確認してください。

3. 脆弱性チェッカーで確認する

脆弱性の発見元であるSearchlight Cyberが、サイトが脆弱かどうかを確認できるツールを公開しています:

🔗 https://wp2shell.com/

URLを入れてスキャンをすると脆弱性があるかをチェックすることが可能です


今すぐアップデートできない場合の一時的な対策

アップデートが今日中にできない場合は、以下のいずれかを実施してください。

いずれも一時的な措置であり、アップデートの代替にはなりません。

対策①: WAF(Webアプリケーションファイアウォール)でブロックする

以下の2つのパスを両方ともブロックしてください。片方だけでは不十分です:

/wp-json/batch/v1
?rest_route=/batch/v1

Cloudflareを利用している場合、すでに新しいWAFルールが全プラン(無料プラン含む)に展開されています。

対策②: REST APIへの匿名アクセスを無効化する

「Disable WP REST API」などのプラグインを使用して、未ログインユーザーのREST APIアクセスを遮断します。

対策③: Searchlight Cyber提供の軽量プラグインを設置する

wp2shell.comから提供されている、匿名のバッチリクエストを拒否する小さなプラグインを設置できます。

注意: これらの対策は、REST APIを利用しているプラグインやサービス(例:モバイルアプリ連携、ヘッドレスCMS等)に影響を与える可能性があります。


すでに攻撃されている可能性は?

現時点(2026年7月18日)で、未確認でありますがPoCが確認されました。

今後、対策をしていないWordpressの攻撃が行われる可能性があります。

GitHub – Icex0/wp2shell-poc: wp2shell
wp2shell. Contribute to Icex0/wp2shell-poc development by creating an account on GitHub.

技術的な補足(開発者・管理者向け)

修正されたファイル

WordPress 7.0.2では、以下の3ファイルが修正されています:

  • /wp-includes/rest-api/class-wp-rest-server.php
  • /wp-includes/class-wp-query.php
  • /wp-includes/rest-api.php

CVE / GHSA 番号

脆弱性CVEGHSA
SQLインジェクションCVE-2026-60137GHSA-fpp7-x2x2-2mjf
RCE(wp2shell)CVE-2026-63030GHSA-ff9f-jf42-662q

まとめ

やるべきこと優先度
WordPressを7.0.2(または6.9.5 / 6.8.6)へアップデート最優先
管理画面で実際のバージョンを確認必須
wp2shell.com で脆弱性チェック推奨
一時的にWAFで /wp-json/batch/v1 をブロックアップデートまでの間
アクセスログの確認アップデート後

参考・引用元

本記事は以下の情報源を参考に作成しました。

  1. WordPress 7.0.2 Release — WordPress公式リリースノート
  1. wp2shell: Pre Authentication RCE in WordPress Core — Searchlight Cyber(脆弱性発見者)
  1. New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code — The Hacker News
https://thehackersnews.com/2026/07/new-wp2shell-wordpress-core-flaw-lets.html
  1. Cloudflare WAF protects WordPress applications from two high-severity vulnerabilities — Cloudflare Blog
Cloudflare WAF protects WordPress applications from two high-severity vulnerabilities
Cloudflare has deployed two WAF rules in response to high-severity vulnerabilities disclosed to us by the WordPress secu…
  1. WordPress 7.0.2 Patches wp2shell: Critical Pre-Auth RCE — Nebula Design
  1. CVE-2026-63030: wp2shell a Critical Remote Code Execution Vulnerability in WordPress Core — Rapid7
Rapid7
On July 17, 2026, a GitHub Security Advisory was published for CVE-2026-63030, a critical unauthenticated remote code ex…
  1. Unauthenticated RCE in WordPress core (wp2shell) — Aikido
Unauthenticated RCE Vulnerability in WordPress core (wp2shell), via SQL injection. Patch the vulnerability now!
WordPress core has an unauthenticated RCE (wp2shell), confirmed as SQL injection. Update to 7.0.2 or 6.9.5 now, with mit…
  1. WordPress Core 6.9 – 7.0.1 – Remote Code Execution via REST API Batch Request Route Confusion — Wordfence
WordPress Core 6.9 – 7.0.1 – Remote Code Execution via REST API Batch Request Route Confusion

コメント

タイトルとURLをコピーしました