概要
2026年2月26日に公開されたCVE-2026-2356は、WordPressプラグイン「User Registration & Membership – Custom Registration Form, Login Form, and User Profile」に存在する不適切な直接オブジェクト参照(IDOR)の脆弱性です。この脆弱性を悪用されると、認証されていない攻撃者が、特定の条件を満たす新規登録ユーザーのアカウントを削除できる可能性があります。
影響範囲
WordPressプラグイン「User Registration & Membership – Custom Registration Form, Login Form, and User Profile」のバージョン5.1.2およびそれ以前の全てのバージョンが影響を受けます。
想定される影響
- 認証されていない攻撃者によって、サイトに新規登録されたユーザーアカウントが削除される可能性があります。
- 特に、「urm_user_just_created」というユーザーメタが設定されている新規登録ユーザーが標的となる可能性があります。
- ユーザーアカウントの削除は、サービス提供の中断やユーザーの信頼失墜につながる可能性があります。
攻撃成立条件・悪用状況
- 攻撃は、プラグインの
register_member関数におけるmember_idキーの入力検証が不足していることに起因します。 - 認証されていない攻撃者が、特定のユーザーIDを推測または特定し、悪意のあるリクエストを送信することで攻撃が成立する可能性があります。
- 現時点では、この脆弱性の悪用状況に関する具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- プラグインのアップデート: 開発元から修正版がリリースされる可能性があります。利用中のプラグインのバージョンが5.1.2以下である場合、開発元の公式情報に注意し、修正版(例: バージョン5.1.3以降)が提供され次第、速やかにアップデートを実施してください。
中長期的な対策
- セキュリティ情報の継続的な監視: 利用しているWordPress本体および全てのプラグインのセキュリティ情報を定期的に確認し、脆弱性が報告された際には迅速に対応できる体制を整えてください。
- Webアプリケーションファイアウォール (WAF) の導入: 不審なリクエストを検知・ブロックするために、WAFの導入を検討することも有効な対策の一つです。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。プラグインの利用を一時的に停止するか、代替プラグインへの移行を検討することも選択肢の一つですが、サイト機能への影響を慎重に評価する必要があります。
確認方法
利用している「User Registration & Membership」プラグインのバージョンが5.1.2以下であるかを確認してください。WordPressの管理画面から「プラグイン」→「インストール済みプラグイン」で確認できます。
参考情報
- CVE-2026-2356 詳細: https://cvefeed.io/vuln/detail/CVE-2026-2356