概要
WordPressプラグイン「User Registration & Membership」のバージョン5.1.2およびそれ以前のバージョンに、認証バイパスの脆弱性(CVE-2026-1779)が発見されました。この脆弱性は、プラグインの`register_member`関数における認証処理の不備が原因とされています。
影響範囲
WordPressプラグイン「User Registration & Membership」のバージョン5.1.2およびそれ以前のバージョンが影響を受けます。
想定される影響
認証されていない攻撃者が、特定のユーザーメタ(urm_user_just_created)が設定された新規登録ユーザーとして、サイトにログインできる可能性があります。これにより、サイトのセキュリティが侵害される恐れがあります。
攻撃成立条件・悪用状況
攻撃は、register_member関数における認証の不備を悪用して行われると報告されています。具体的には、新規登録時にurm_user_just_createdというユーザーメタが設定されたユーザーが対象となる可能性があります。
現時点での具体的な悪用状況については、この情報からは不明です。
推奨対策(優先度付き)
【最優先】プラグインのアップデート
- 「User Registration & Membership」プラグインを、脆弱性が修正された最新バージョンに速やかにアップデートしてください。公式のアップデート情報やリリースノートを確認し、指示に従って適用することが重要です。
【中長期】定期的なセキュリティ監査
- 使用しているWordPressプラグインやテーマのセキュリティ監査を定期的に実施し、常に最新の状態を保つ運用を検討してください。
一時的な緩和策
この脆弱性に対する直接的な一時緩和策は、現時点では明確に報告されていません。最も効果的な対策は、プラグインのアップデートです。
もしアップデートがすぐに困難な場合は、プラグインの一時的な無効化も選択肢となり得ますが、サイト機能への影響を十分に考慮する必要があります。
確認方法
ご自身のWordPressサイトにインストールされている「User Registration & Membership」プラグインのバージョンを確認してください。バージョンが5.1.2以下である場合、この脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-1779 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-1779