WordPress 6.9.2で修正された「認可バイパス」の脅威——管理画面を乗っ取られる前に
世界最大のCMSプラットフォーム「WordPress」で、重大なセキュリティ問題が修正されました。2026年3月10日に公開されたWordPress 6.9.2では、サイト管理者の権限を不正に取得される「認可バイパス」をはじめ、複数の深刻な脆弱性への対処が行われています。
認可バイパスからSSRFまで——修正された脆弱性の全容
今回のWordPress 6.9.2では、CVE番号は公表されていないものの、セキュリティに関する複数の重要な問題が修正されました。最も注目すべきは「認可のバイパス」で、これは本来アクセス権限のないユーザーが管理機能を不正に利用できてしまう脆弱性です。
その他にも、悪意あるスクリプトを埋め込まれるクロスサイトスクリプティング(XSS)、サーバー内部への不正アクセスを可能にするブラインドサーバサイドリクエストフォージェリ(SSRF)が修正されています。さらに、「HTML API」とブロックレジストリにおける脆弱なPoPチェーンの問題、正規表現処理に起因するサービス拒否の脆弱性についても対応が完了しました。
外部ライブラリの脆弱性も同時解消
WordPress本体だけでなく、組み込まれている外部ライブラリの脆弱性についても修正が行われています。アーカイブ処理を行うライブラリ「PclZip」では、パストラバーサルの脆弱性が判明していました。これは、本来アクセスできないはずのディレクトリやファイルに不正にアクセスされる可能性がある問題です。
また、メタデータ解析ライブラリ「getID3」におけるXML外部実体参照(XXE)の脆弱性も解消されています。XXE脆弱性は、XMLファイルの処理時に外部のリソースを不正に読み込まれ、機密情報の漏洩につながる危険性があります。
自動更新とWordPress 7.0の予定
WordPress開発チームは利用者に対して早急に更新するよう呼びかけており、管理画面の更新機能や公式サイトからアップデートが可能です。自動更新機能を有効化している場合は、自動的に適用される仕組みになっています。
なお、次期メジャーリリースとなる「WordPress 7.0」については、2026年4月9日に公開予定であることも併せて発表されました。
短期的影響:認可バイパス脆弱性は特に深刻で、攻撃者がサイト管理者権限を不正取得する可能性があります。WordPress利用サイトは即座にアップデートを実施し、自動更新機能の有効化も検討すべきです。
中長期的影響:外部ライブラリを含む包括的な脆弱性対応は、WordPressエコシステム全体のセキュリティ向上を示しています。来月予定のWordPress 7.0では、さらなるセキュリティ強化が期待され、CMS選択時の重要な判断材料となるでしょう。
読者への示唆:WordPress運営者は管理画面から即座にアップデートを実行し、自動更新設定を確認してください。複数サイトを管理している場合は、一括管理ツールの活用も検討し、今後のセキュリティ情報にも継続的に注意を払うことが重要です。
