【重要】WordPressに深刻な脆弱性「wp2shell」が公開
1: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
2026年07月19日19時08分取得:
【重要】WordPress の深刻度緊急(Critical)脆弱性 wp2shell について、脆弱性の詳細と対応指針を示す記事を公開しました。未認証RCEにつき被害拡大を危惧しています。三連休ですが、急ぎご確認・対応ください!!!😭https://t.co/YqO7NNOUvp
— YONEUCHI, Takashi | GMO Flatt Security (@lmt_swallow) July 18, 2026
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
おっと、これは重要な脆弱性だお。
遠隔から数回のリクエストだけで任意コード実行(RCE)が可能になるため、早めの対応をおすすめ。
WPを最新版(7.0.2以降など)へアップデートと「/wp-json/batch/v1」「rest_route=/batch/v1」へのアクセス拒否で十分対応可能だお。

やる夫より以下技術者向け詳細だお:
影響を受けるバージョン(正確版) WordPress 6.9.0 〜 6.9.4
WordPress 7.0.0 〜 7.0.1
これらのバージョンがwp2shellの完全なRCE(リモートコード実行)に影響。
※ WordPress 6.8.x はSQLインジェクション(CVE-2026-60137)のみ影響で、RCEチェーンは成立しない。6.8.6でSQLiは修正済み。
※ 6.8以前のバージョンは影響なし。修正版 6.9.5(6.9ブランチ用)
7.0.2(最新安定版)
7.1 Beta2 も修正済み
WordPress公式は強制自動更新を有効にしているが、自動更新がオフになっているサイトや更新に失敗しているケースあり
・影響範囲 未認証(ログイン不要)で攻撃可能
・影響範囲 未認証(ログイン不要)で攻撃可能
・プラグイン不要:デフォルトインストール状態でも脆弱
・REST APIの/wp-json/batch/v1(または?rest_route=/batch/v1)を悪用
・攻撃成功でサーバー上の任意コード実行 → シェル取得、データ窃取、改ざん、さらなるマルウェア設置などが可能
・全世界で5億サイト以上がWordPressを使っているため、影響規模は非常に大きい
やる夫より:お買い得商品を見つけたのでご紹介だお!
横山光輝生誕90周年記念電子出版「Selected Works」 鉄人28号
50%OFF+50%ポイント還元https://t.co/eOONBIjnWF超お得になっています~
— まねたん (@kasegerumatome) July 19, 2026