概要
WordPressのカスタマイズプラグイン「Kirki」に、認証なしで任意のユーザーアカウントを乗っ取れる重大な脆弱性CVE-2026-8206が発見された。CVSSスコアは最大値に近い9.8と評価されており、50万近いアクティブインストール数のうち約15万サイト(全体の約40%)が脆弱なバージョンを稼働させていると推定される。セキュリティ企業Wordfenceは、過去24時間で自社顧客に対する悪用試行を222件以上ブロックしており、すでに実環境での攻撃が進行中であることが確認されている。
脆弱性の技術的詳細
この欠陥はバージョン6.0.0で導入されたパスワードリセット機能に起因する。プラグインのREST APIエンドポイントが公開するhandle_forgot_password()関数に根本的な実装ミスがあり、ユーザー名とメールアドレスのパラメーターの対応関係を検証しないという問題を抱えている。
正常なパスワードリセットフローでは、リセットトークンはアカウント所有者のメールアドレスにのみ送信されるべきである。しかしこの脆弱性を悪用することで、攻撃者は標的の管理者ユーザー名と自分が制御するメールアドレスを組み合わせてリクエストを送信でき、リセットリンクが攻撃者のメールボックスに届いてしまう。これにより、攻撃者はパスワードを任意に変更して対象アカウントを完全に乗っ取ることができる。特別な権限や事前の認証は一切不要であり、攻撃難度は極めて低い。
発見から修正までの経緯
本脆弱性はセキュリティ研究者Choigyeongmin氏がWordfenceのバグバウンティプログラムを通じて発見し、2026年5月15日に開発元へ報告した。開発チームは報告から3日後の5月18日にバージョン6.0.7をリリースして問題を修正した。研究者への報奨金は6,436ドルが支払われている。Wordfenceのプレミアムユーザーはすでに5月9日からファイアウォールルールで保護されており、無料ユーザーへの適用は6月8日に予定されている。
侵害された場合のリスクと推奨対応
攻撃者が管理者権限を取得した場合、悪意あるプラグインのインストール、コンテンツの改ざん、Webシェルの設置、バックドアの設置、データベースへの不正アクセスなど、サイトを完全に掌握するあらゆる行為が可能になる。影響を受けるバージョンは6.0.0から6.0.6であり、すべてのサイト管理者に対してKirki 6.0.7以降への即時アップデートが強く推奨されている。アップデートが困難な場合は、プラグインを一時的に無効化することが代替措置として有効である。