WordPress脆弱性14件、未認証攻撃も　今すぐ対応すべきプラグインはどれか【3月26日～4月1日】

こんにちは。GMOプライム・ストラテジーの相馬理紗です。 2026年4月9日に公開予定でしたWordPress7.0の公開が遅れるという発表がありました。 数週間の延期ということで、現時点では正確なリリース日はアナウンスされていません。公開が楽しみですね。

今回は、2026年3月26日～2026年4月1日に報告があったWordPressの脆弱性のうち、WordPressのプラグイン・テーマの脆弱性情報を公開しているWordfence が公開しているデータフィードより、以下の条件を満たすものを紹介します。 - WordPress.orgにおける“Active installations"が10万以上である - 日本語の翻訳に対応している

• 

  WordPressの脆弱性が複数報告、未認証で悪用可能なケースも確認された

閉じる

今回のポイント

• 未認証で悪用可能な脆弱性が複数存在
• 低権限ユーザーからの権限昇格リスクも目立つ
• 条件次第でRCE（リモートコード実行）に至るケースあり

今すぐ対応すべき脆弱性

高リスク（即対応）

• Query Monitor：未認証でのXSS
• MW WP Form：任意ファイル移動によりRCEの可能性
• W3 Total Cache：特定の設定で情報漏えい
• Ultimate Member：管理者アカウント乗っ取りの可能性

中～低リスク（影響限定）

• WP Statistics
• MC4WP
• Shortcodes Ultimate
• ShortPixel
• Elementor
• Tutor LMS
• WooPayments
• Ninja Forms
• Smart Slider 3
• Loco Translate

注目すべき脆弱性の解説

Query Monitor：未認証XSS

未認証の攻撃者が、ユーザーにリンクのクリックなどの操作を行わせることで、ページへ任意のウェブスクリプトを挿入し、そのスクリプトを実行させることが可能となる。

MW WP Form：RCEにつながる可能性

ファイルパス検証の不備により、未認証の攻撃者がサーバ上の任意ファイルを移動可能となり、適切なファイル（例：wp-config.php）が対象となった場合にリモートコード実行につながる恐れがある。この脆弱性はフォームにファイルアップロードフィールドが追加されており、「Saving inquiry data in database」オプションが有効化されている場合にのみ悪用可能。

W3 Total Cache：特定設定で情報漏えい

未認証の攻撃者が、動的フラグメントタグを含むページに対して細工したUser-Agentヘッダを送信することで、W3TCDYNAMICSECURITY 定数の値を取得することが可能となる。この脆弱性はフラグメントキャッシュ機能が有効化されている場合にのみ悪用できる。

Ultimate Member：管理者乗っ取りリスク

寄稿者以上の権限を持つユーザーで認証済みの場合、悪意のある保留中の投稿を作成し、それを管理者がプレビューした際に管理者のパスワードリセットトークンを生成させ、攻撃者のサーバへ送信することで、管理者アカウントを完全に乗っ取ることが可能となる。

3月26日～4月1日に報告された全脆弱性一覧

深刻度が高い脆弱性：4件

① CVE: https://www.cve.org/CVERecord?id=CVE-2026-4267
　 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/0b75cad9-9f76-4839-8eb2-40d84662846d

② CVE: https://www.cve.org/CVERecord?id=CVE-2026-4347
　 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/194ee4a0-87c3-42e5-9676-8dd355838b78

③ CVE: https://www.cve.org/CVERecord?id=CVE-2026-5032
　 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/a65eb62d-847b-4f3a-848b-1290e3118c01

④ CVE: https://www.cve.org/CVERecord?id=CVE-2026-4248
　 詳細: https://www.wordfence.com/threat-intel/vulnerabilities/id/baafd001-144d-4ee4-b7e6-28c0931e6e10

他の脆弱性：10件

⑤ https://www.wordfence.com/threat-intel/vulnerabilities/id/07f7ef07-0f14-4b74-8d47-d5dece4954b0
⑥ https://www.wordfence.com/threat-intel/vulnerabilities/id/1c074e03-b452-4aea-aa1d-36657ba311e1
⑦ https://www.wordfence.com/threat-intel/vulnerabilities/id/61ab7a28-bcca-41ff-89d1-c083c6b0d39f
⑧ https://www.wordfence.com/threat-intel/vulnerabilities/id/a156234f-2644-4d17-aaa5-4f088cf48f73
⑨ https://www.wordfence.com/threat-intel/vulnerabilities/id/a4420935-4952-4460-afc2-1c6df6965b3d
⑩ https://www.wordfence.com/threat-intel/vulnerabilities/id/b6f7c4c8-210f-4bbb-8352-5c2e550e44c3
⑪ https://www.wordfence.com/threat-intel/vulnerabilities/id/cec13225-baa3-4f26-b2d2-af6106888c74
⑫ https://www.wordfence.com/threat-intel/vulnerabilities/id/df4f4358-af6a-4a1a-bb83-afe31b3cdb9f
⑬ https://www.wordfence.com/threat-intel/vulnerabilities/id/e2ce9caf-2ca2-401c-acc7-76be2fd72f36
⑭ https://www.wordfence.com/threat-intel/vulnerabilities/id/faa6c744-7586-47ee-b2ce-af972ee8b4f7

総括

2026年3月26日～4月1日に報告された脆弱性は14件で、未認証でも悪用可能なものが5件、認証済みユーザー（主に低権限）によるものが8件確認された。内容としては、XSSや情報漏えい、任意ファイル操作、アカウント乗っ取りなど、重大な被害につながるリスクが含まれる。

特に、未認証攻撃や低権限からの権限昇格につながる脆弱性は影響範囲が大きく、注意が必要である。また、一部は特定の設定環境でのみ成立するが、該当する場合のリスクは高い。

全体として、情報漏えいや不正操作のリスクが広く存在しており、該当プラグインの速やかなアップデートと、権限設定や不要機能の見直しといった基本対策が重要である。