
WordPressのコアに排水不良の欠陥があり、認証されていない攻撃者がサーバー上で任意のコードを実行できます。 すぐにパッチを当ててください。
The Hacker News は2026年7月17日に、wp2shellという名前のWordPressのコアに影響を与える脆弱性を報告しました。記事によると、認証されていない攻撃者が、ユーザーアカウントや脆弱なサードパーティプラグインを必要とせず、偽造されたHTTPリクエストを通じてリモートコード実行(RCE - Remote Code Execution)を引き起こすことができます。
インターネットに公開されたパッチが適用されていないWordPressのインスタンスはすべて。WordPressはW3Techsのバロメーターによるとウェブの40%以上を占めているため、攻撃対象は巨大です。共有ホスティングとWooCommerceのeコマースサイトが最前線に立っています - 侵害された商業サイトはクレジットカード、顧客アカウント、悪意のあるリダイレクトが連鎖的に発生します。
認証されていないWordPressコアのRCEは、プラットフォームにとって最悪のシナリオです:ソーシャルエンジニアリング、盗まれたアカウント、エキゾチックなプラグインなどは必要ありません - 単純なインターネットスキャナーで大規模に悪用できます。コミュニティはすでにこの種のイベントを経験しています(2017年のREST APIの脆弱性は数日で100万以上のサイトを改ざんしました)。名前wp2shellはエクスプロイトの目的を示唆しています:直接ウェブからサーバーのシェルに移行します。
公開後、典型的なパターンは、インターネットの大規模スキャン(24~72時間)、大規模な悪用によるウェブシェルの配置、そして暗号通貨のマイニング、SEOスパム、アンダーグラウンド市場でのアクセスの販売のための静かな持続性です。
WP_AUTO_UPDATE_COREをマイナーなパッチに対して有効にする。find /var/www -name "*.php" -mtime -3を実行して、最近作成されたPHPファイルを特定する(ウェブシェルの候補)。wp-config.phpのsalt(wordpress.org/secret-keyを通じて)。W3Techsによると、WordPressは世界のウェブサイトの約43%を駆動しています。そのコアに認証されていないRCEが存在することは、潜在的に数十万のインストールを脅かす可能性があります。
現在、The Hacker Newsの記事が私たちの主要な情報源です。CVE番号、正確な脆弱なバージョン、および公開されたPoCの存在は、公式のアドバイザリー(wordpress.org、MITRE CVE、NVD)が公開された後、確認する必要があります。確認次第、このメモを更新します。
本記事は人工知能により作成され、人間の編集管理のもとで校閲されています。