【重要】WordPressに深刻な脆弱性「wp2shell」が公開

【重要】WordPressに深刻な脆弱性「wp2shell」が公開

【重要】WordPressに深刻な脆弱性「wp2shell」が公開

1: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku

2026年07月19日19時08分取得:

1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku

 おっと、これは重要な脆弱性だお。

 遠隔から数回のリクエストだけで任意コード実行(RCE)が可能になるため、早めの対応をおすすめ。

 WPを最新版(7.0.2以降など)へアップデートと「/wp-json/batch/v1」「rest_route=/batch/v1」へのアクセス拒否で十分対応可能だお。

acha

やる夫より以下技術者向け詳細だお:

影響を受けるバージョン(正確版)  WordPress 6.9.0 〜 6.9.4  
WordPress 7.0.0 〜 7.0.1

これらのバージョンがwp2shellの完全なRCE(リモートコード実行)に影響。
※ WordPress 6.8.x はSQLインジェクション(CVE-2026-60137)のみ影響で、RCEチェーンは成立しない。6.8.6でSQLiは修正済み。
※ 6.8以前のバージョンは影響なし。修正版  6.9.5(6.9ブランチ用)  
7.0.2(最新安定版)  
7.1 Beta2 も修正済み

WordPress公式は強制自動更新を有効にしているが、自動更新がオフになっているサイトや更新に失敗しているケースあり
・影響範囲  未認証(ログイン不要)で攻撃可能  
・プラグイン不要:デフォルトインストール状態でも脆弱  
・REST APIの/wp-json/batch/v1(または?rest_route=/batch/v1)を悪用  
・攻撃成功でサーバー上の任意コード実行 → シェル取得、データ窃取、改ざん、さらなるマルウェア設置などが可能  
・全世界で5億サイト以上がWordPressを使っているため、影響規模は非常に大きい

やる夫より:お買い得商品を見つけたのでご紹介だお!


続きを読む

続きを見る(外部サイト)

稼げるまとめ速報カテゴリの最新記事