WordPressプラグイン「WP Maps Pro」の脆弱性を悪用した管理者アカウント乗っ取り攻撃が増加
Web Designing Web記者が、Webに携わる人向けにニュースをピックアップ。話題の本質を整理し、実務に役立つポイントをコンパクトにまとめました。
WordPressセキュリティ企業のWordfenceは5月28日、WordPressプラグイン「WP Maps Pro」に未認証の攻撃者が管理者アカウントを作成できる重大な脆弱性(CVE-2026-8732)が存在すると発表しました。CVSS v3.1スコアは9.8(Critical)で、すでに悪用が確認されています。
この脆弱性は同プラグインの権限チェック不足に起因します。サポート用に用意された機能が未認証のユーザーから呼び出せる状態になっており、攻撃者が管理者権限のWordPressユーザーを作成してサイトを完全に乗っ取ることができます。
影響を受けるのはWP Maps Pro 6.1.0以前で、修正版は6.1.1です。開発元WePluginsの公式サイト経由でサブスクリプション購入した場合は、「WePlugins Core 1.0.7」への更新も必要です。プラグインのバージョン更新のほか、不審な管理者アカウントの有無をWordPress管理画面で確認することが推奨されています。
Editor’s Eye
WordPress公式ディレクトリ外で配布されるプラグインは自動更新の対象外になるケースがあり、更新が見落とされやすい点に注意が必要です。制作会社が導入したまま放置されているサイトも被害に遭う可能性があるため、保守体制の見直しを促す事案といえます。
文:小平淳一