まず結論から
WordPress 6.9.0〜7.0.1を使っている場合、今すぐアップデートしてください。
ログインなしで、誰でもあなたのサイトを完全に乗っ取れる脆弱性が見つかりました。
WordPress公式は「強制自動アップデート」を有効化していますが、念のため管理画面でバージョンを確認してください。
この記事のポイント
| 項目 | 内容 |
|---|---|
| 脆弱性の名前 | wp2shell |
| 正式な番号 | CVE-2026-63030 |
| 深刻さ | 最高レベル(Critical) |
| 攻撃に必要なもの | なし(ログイン不要、プラグイン不要、デフォルト設定で攻撃可能) |
| 修正バージョン | WordPress 7.0.2 / 6.9.5 / 6.8.6 |
| 発見者 | Adam Kues(Searchlight Cyber / Assetnote) |
何が起きたのか?
簡単に言うと…
WordPressの「REST API」という機能に穴が開いていて、匿名の訪問者が1回のHTTPリクエストを送るだけで、あなたのサーバー上で任意のコードを実行できてしまうというものです。
つまり、攻撃者は以下のようなことが可能になります:
- サイトの完全な乗っ取り
- データベースの閲覧・改ざん
- 悪意あるファイルの設置
- SEOスパムの注入
- ランサムウェアの展開
なぜこれが特に危険なのか
通常、WordPressの脆弱性は「特定のプラグインを入れている場合」や「管理者権限を持っている場合」に限定的です。
しかし今回の脆弱性はWordPress本体(コア)の問題であり、プラグインの有無や特殊な設定に関係なく、デフォルトインストールのままで攻撃可能です。
WordPress公式のリリースノートでは、この脆弱性を以下のように説明しています:
「REST API batch-route confusion and SQL injection issue leading to Remote Code Execution」
(REST APIのバッチリクエストのルート混乱とSQLインジェクションの問題が、リモートコード実行につながる)
エントリーポイントとなるのは /wp-json/batch/v1 というエンドポイントです。
影響を受けるバージョン
| 使用中のバージョン | 影響 | 対応 |
|---|---|---|
| WordPress 6.8.6 以前(6.8系) | SQLインジェクションのみ影響 | 6.8.6へアップデート |
| WordPress 6.9.0 〜 6.9.4 | RCE + SQLインジェクション 両方影響 | 6.9.5へアップデート |
| WordPress 7.0.0 〜 7.0.1 | RCE + SQLインジェクション 両方影響 | 7.0.2へアップデート |
| WordPress 7.1 Beta 1 | RCE + SQLインジェクション 両方影響 | 7.1 Beta 2へアップデート |
| WordPress 6.8.5 以前 | 影響なし | そのままでOK |
※ 脆弱なコードはWordPress 6.9(2025年12月2日リリース)から存在します。それ以前のバージョンはRCEの影響を受けません
すぐにやるべきこと
1. バージョンを確認する
WordPress管理画面 → 「ダッシュボード」 → 「更新」に進み、現在のバージョンを確認してください。

- 7.0.2 になっていればOK
- 6.9.5 になっていればOK(6.9系を継続使用の場合)
- 6.8.6 になっていればOK(6.8系を継続使用の場合)
2. 自動アップデートが適用されているか確認する
WordPress.orgはこの脆弱性の深刻さを受け、影響を受けるバージョンに対して強制自動アップデートを有効化しています。
ただし、以下の場合は自動更新が適用されない可能性があります:
- 管理画面で自動更新を無効にしている
- ホスティング環境で自動更新がブロックされている
- バージョン管理システム(Git等)で運用している
必ず管理画面で実際のバージョンを確認してください。
3. 脆弱性チェッカーで確認する
脆弱性の発見元であるSearchlight Cyberが、サイトが脆弱かどうかを確認できるツールを公開しています:
🔗 https://wp2shell.com/

URLを入れてスキャンをすると脆弱性があるかをチェックすることが可能です

今すぐアップデートできない場合の一時的な対策
アップデートが今日中にできない場合は、以下のいずれかを実施してください。
いずれも一時的な措置であり、アップデートの代替にはなりません。
対策①: WAF(Webアプリケーションファイアウォール)でブロックする
以下の2つのパスを両方ともブロックしてください。片方だけでは不十分です:
/wp-json/batch/v1
?rest_route=/batch/v1
Cloudflareを利用している場合、すでに新しいWAFルールが全プラン(無料プラン含む)に展開されています。

対策②: REST APIへの匿名アクセスを無効化する
「Disable WP REST API」などのプラグインを使用して、未ログインユーザーのREST APIアクセスを遮断します。
対策③: Searchlight Cyber提供の軽量プラグインを設置する
wp2shell.comから提供されている、匿名のバッチリクエストを拒否する小さなプラグインを設置できます。
注意: これらの対策は、REST APIを利用しているプラグインやサービス(例:モバイルアプリ連携、ヘッドレスCMS等)に影響を与える可能性があります。
すでに攻撃されている可能性は?
現時点(2026年7月18日)で、未確認でありますがPoCが確認されました。
今後、対策をしていないWordpressの攻撃が行われる可能性があります。

技術的な補足(開発者・管理者向け)
修正されたファイル
WordPress 7.0.2では、以下の3ファイルが修正されています:
/wp-includes/rest-api/class-wp-rest-server.php/wp-includes/class-wp-query.php/wp-includes/rest-api.php
CVE / GHSA 番号
| 脆弱性 | CVE | GHSA |
|---|---|---|
| SQLインジェクション | CVE-2026-60137 | GHSA-fpp7-x2x2-2mjf |
| RCE(wp2shell) | CVE-2026-63030 | GHSA-ff9f-jf42-662q |
まとめ
| やるべきこと | 優先度 |
|---|---|
| WordPressを7.0.2(または6.9.5 / 6.8.6)へアップデート | 最優先 |
| 管理画面で実際のバージョンを確認 | 必須 |
| wp2shell.com で脆弱性チェック | 推奨 |
一時的にWAFで /wp-json/batch/v1 をブロック | アップデートまでの間 |
| アクセスログの確認 | アップデート後 |
参考・引用元
本記事は以下の情報源を参考に作成しました。
- WordPress 7.0.2 Release — WordPress公式リリースノート
- wp2shell: Pre Authentication RCE in WordPress Core — Searchlight Cyber(脆弱性発見者)
- New wp2shell WordPress Core Flaw Lets Unauthenticated Attackers Run Code — The Hacker News
- Cloudflare WAF protects WordPress applications from two high-severity vulnerabilities — Cloudflare Blog

- WordPress 7.0.2 Patches wp2shell: Critical Pre-Auth RCE — Nebula Design
- CVE-2026-63030: wp2shell a Critical Remote Code Execution Vulnerability in WordPress Core — Rapid7

- Unauthenticated RCE in WordPress core (wp2shell) — Aikido

- WordPress Core 6.9 – 7.0.1 – Remote Code Execution via REST API Batch Request Route Confusion — Wordfence



コメント