WordPressにおいて、認証不要でリモートからの任意のコード実行(RCE)につながる深刻な脆弱性「wp2shell」チェーンが発見され、その修正版が2026年7月17日に公開されました。この脆弱性チェーンは、主に「REST APIのバッチルート混同(CVE-2026-63030)」と「WP_Query内のSQLインジェクション(CVE-2026-60137)」で構成されており、特別なプラグインや設定を必要とせず、たった1件の匿名HTTPリクエストでサーバー上のコードを実行される危険性があります。パッチ公開から24時間以内にPoC(Proof of Concept)エクスプロイトが既に公開されており、実攻撃に悪用される可能性が極めて高いため、WordPressプロジェクトは異例の強制自動アップデートを有効化する事態となっています。
今すぐ行う対策
- ✓公式情報で確認できる修正版へ更新する (WordPress 6.8.6, 6.9.5, または 7.0.2)
- ✓更新までの公式回避策(WebサーバーレベルでのAPIエンドポイントブロック)を適用する
- ✓侵害の兆候(不審なファイルやプロセスなど)を確認する
脆弱性の概要と影響範囲
この「wp2shell」と名付けられた脆弱性チェーンは、WordPressの内部処理における複数のバグを悪用するものです。具体的には、「REST APIのバッチルート混同(CVE-2026-63030)」により、意図しないAPIルートへのアクセスが可能となり、これと「WP_Query内のSQLインジェクション(CVE-2026-60137)」が組み合わされることで、最終的に認証情報を持たない攻撃者がサーバー上で任意のコードを実行できる状態になります。 WordPressのバージョン6.9.0から6.9.4、および7.0.0から7.0.1が特に影響を受けることが確認されています。 修正版がリリースされたのは6.8.6、6.9.5、7.0.2です。 PoCコードが迅速に公開されたことから、広範なサイトでの攻撃が懸念されており、WordPressプロジェクトは最も深刻なケースにのみ適用する強制自動アップデートを発動しました。
具体的な影響・攻撃シナリオ
攻撃者は、WordPressのREST APIの特定のバッチエンドポイントを悪用し、正規の認証プロセスを経ることなく、脆弱性のあるWordPressインストール上で任意のPHPコードを実行できます。これにより、ウェブサイトのコンテンツ改ざん、データの窃取、マルウェアの埋め込み、さらにはサーバー自体の完全な乗っ取りなど、深刻な被害が発生する可能性があります。実際に、脆弱性修正版が公開されてからわずか24時間で、GitHub上にはエクスプロイト、スキャナー、検証用ラボを含む14件のリポジトリが出現しており、アクティブな悪用が活発化するリスクが非常に高い状況です。
対応手順と確認方法
WordPressの管理者ダッシュボードから、速やかに最新バージョンであるWordPress 6.8.6、6.9.5、または7.0.2へアップデートしてください。自動アップデートが有効になっている場合は既に適用されている可能性がありますが、念のためバージョンを確認し、手動での適用も検討してください。アップデートが困難な場合は、Webサーバー(Nginxなど)の設定で、攻撃経路となるREST APIのバッチエンドポイントへのアクセスを一時的にブロックする回避策を講じることができます。また、万が一の侵害に備え、サイトの認証情報(データベースのパスワード、シークレットキーなど)と認証ソルトを再生成し、不審なファイルやデータベースの変更がないかログを確認することが推奨されます。
location ~* /wp-json/batch/v1 {
deny all;
# allow <信頼できるIPアドレス>;
return 403;
}