WordPressユーザーの皆様に緊急のお知らせです。多機能なユーザー管理機能を提供する人気プラグイン「Ultimate Member」において、認証不備に起因する深刻なアカウント乗っ取りの脆弱性(CVE-2026-7761)が報告されました。この脆弱性は、悪用されると任意のユーザーアカウントが乗っ取られる可能性があり、Webサイト運営に甚大な被害をもたらす恐れがあります。開発元より修正版が提供されていますので、対象バージョンをご利用のエンジニアは、直ちにアップデートを適用してください。この情報は2026年6月26日にセキュリティメディアにて報じられました。
脆弱性の概要と影響範囲
この脆弱性(CVE-2026-7761)は、Ultimate Memberプラグインのバージョン2.11.4およびそれ以前のバージョンに存在します。認証されていない攻撃者が、特定のメタフィールドに細工を施した悪意のある投稿をXML-RPC経由で作成することで、管理者を含む全ユーザーのパスワードリセットURLを抽出できるというものです。具体的には、<code>get_directory_by_hash()</code>関数におけるMD5ハッシュのフォールバック処理、<code>post_data()</code>関数における<code>strstr()</code>の不適切なパース処理、そして<code>build_user_card_data()</code>関数でのフィールド名検証の欠如が複合的に作用し、<code>password_reset_link</code>などの任意のフィールドが処理されてしまうことが原因とされています。
具体的な影響・攻撃シナリオ
この脆弱性が悪用された場合、攻撃者はContributor以上の権限を持つ認証済みユーザーとして、XML-RPC機能を利用して不正な投稿を作成し、その投稿のメタフィールドに仕込まれた細工によって、他のユーザー(管理者を含む)のパスワードリセットリンクを不正に入手することが可能になります。これにより、攻撃者は標的のユーザーアカウントのパスワードをリセットし、アカウントを乗っ取る恐れがあります。結果として、Webサイトの改ざん、情報の窃取、スパム送信など、さまざまな悪意ある活動が行われる可能性があります。特にXML-RPCが有効になっている環境では、攻撃のリスクが高まります。
エンジニアが今すぐ取るべき対策
この脆弱性に対する最も重要な対策は、速やかにUltimate Memberプラグインを修正版であるバージョン2.12.0以降にアップデートすることです。また、WordPressのXML-RPC機能を必要としない場合は、セキュリティ hardeningの一環としてXML-RPCを無効にすることを強く推奨します。以下にNginxでXML-RPCへのアクセスをブロックする設定例を示します。
location ~* /xmlrpc.php$ {
deny all;
access_log off;
log_not_found off;
return 403;
}上記の設定により、<code>xmlrpc.php</code>へのすべてのアクセスがブロックされ、脆弱性悪用の経路の一つを遮断できます。また、Webアプリケーションファイアウォール(WAF)を導入している場合は、関連する攻撃パターンをブロックするルールが適用されているか確認することも重要です。定期的なバックアップと、不審なログがないかの監視も怠らないようにしてください。
📦