WordPressの多機能マッププラグイン「WP Maps Pro」に、緊急性の高い脆弱性(CVE-2026-8732)が発見されました。この脆弱性を悪用されると、認証されていないリモートの攻撃者が、パスワードなしでサイトの管理者アカウントを新規作成し、Webサイトを完全に掌握する恐れがあります。現在、この脆弱性を狙った攻撃が活発に観測されており、WP Maps Proを利用中の全サイト運営者は、直ちにプラグインを最新バージョンに更新する必要があります。
脆弱性の概要と影響範囲
この脆弱性(CVE-2026-8732)は、WP Maps Proプラグインのバージョン6.1.0およびそれ以前に存在します。プラグインの「一時的なアクセス」機能の実装に根本的な欠陥があり、サポートスタッフが顧客サイトにログインするためのAJAXエンドポイント(wpgmp_temp_access_ajax)が、認証されていないユーザーにもアクセス可能になっていました。さらに、この機能はクロスサイトリクエストフォージェリ(CSRF)を防ぐためのNonceチェックのみに依存していましたが、そのNonceがフロントエンドのJavaScriptを通じて公開されていたため、セキュリティ対策として機能していませんでした。
具体的な影響・攻撃シナリオ
攻撃者は、公開されているNonceを利用して、細工したリクエストを送信することで、管理者権限を持つWordPressユーザーを新規作成できます。このプロセスではパスワードが不要で、自動的に生成される「マジックログインURL」を介して、攻撃者は新規作成した管理者アカウントにログインし、サイトの完全なコントロールを奪取します。これにより、バックドアの設置、コンテンツの改ざん、機密データへのアクセス、Webシェルや悪意のあるプラグインのインストールなど、あらゆる種類の悪意のある操作が可能になります。
WordPressセキュリティ企業Wordfenceは、この脆弱性を標的とした攻撃が24時間で数千件ブロックされたと報告しており、Defiantも同様に3,600件以上の攻撃を観測しています。これは、概念実証(PoC)が公開されると同時に大規模な悪用が始まるWordPressプラグインの脆弱性の傾向と一致しています。
エンジニアが今すぐ取るべき対策
WP Maps Proプラグインを利用している場合、最優先でバージョン6.1.1以降にアップデートしてください。アップデートがすぐに不可能な場合は、一時的にWP Maps Proプラグインを停止・削除することを強く推奨します。また、既知の不正な管理者アカウントが存在しないか、WordPressユーザーリストを確認してください。万が一、身に覚えのない管理者アカウントが作成されている場合は、直ちに削除し、サイト全体のセキュリティ監査を実施してください。
緊急の緩和策として、ウェブサーバーのWAF設定や.htaccessファイルで、脆弱なAJAXエンドポイントへのアクセスをブロックすることも有効です。以下は、Nginxの設定例ですが、.htaccessでも同様の対策が可能です。
location = /wp-admin/admin-ajax.php {
if ($query_string ~ "(^|&)action=wpgmp_temp_access_ajax(&|$)") {
return 403;
}
# 通常のadmin-ajax.phpの処理を続行
try_files $uri $uri/ /index.php?$args;
}この設定は、`action=wpgmp_temp_access_ajax`を含むクエリ文字列を持つ`/wp-admin/admin-ajax.php`へのリクエストをブロックし、403 Forbiddenエラーを返します。これは一時的な緩和策であり、根本的な解決のためにはプラグインのアップデートが不可欠です。
📦参考ソース・公式パッチ情報
- Wordfence - CVE-2026-8732: The WP Maps Pro Flaw That Lets Anyone Create a WordPress Admin Without a Password↗
- WP Maps Pro bug exploited to create admin accounts on WordPress sites - BleepingComputer↗
- National Vulnerability Database (NVD) - CVE-2026-8732 (仮) ※公開され次第更新↗
- WP Maps Pro Plugin Official Page (アップデート情報の確認)↗