何が起きたか
2026年3月10日、WordPressがセキュリティ専用リリース 6.9.2 を公開した。10件の脆弱性が修正されており、全ユーザーに即時アップデートが推奨されている。
修正された脆弱性
| 脆弱性 | 種類 | 影響 |
|---|---|---|
| Blind SSRF | サーバーサイド | 内部ネットワークへの不正アクセス |
| HTML API・Block Registry PoP-chain | 複合 | 複数脆弱性の連鎖攻撃 |
| 数値文字参照 Regex DoS | サービス拒否 | サーバー負荷増大 |
| ナビメニュー Stored XSS | クロスサイトスクリプティング | 悪意あるスクリプト実行 |
| data-wp-bind Stored XSS | クロスサイトスクリプティング | 悪意あるスクリプト実行 |
| AJAX認可バイパス | 認可 | 権限のない操作が可能に |
| PclZipパストラバーサル | ファイルシステム | 意図しないファイルアクセス |
| getID3 XXE | XML外部エンティティ | 情報漏洩・サーバーサイド攻撃 |
特に注意が必要なもの
Blind SSRF
サーバーから内部ネットワークにリクエストを送らせる攻撃。クラウド環境ではメタデータサービスへのアクセスなど、深刻な被害につながる可能性がある。
Stored XSS(2件)
ナビメニューと data-wp-bind ディレクティブの両方にStored XSS脆弱性があった。攻撃者がサイトに悪意あるスクリプトを埋め込み、訪問者のブラウザで実行させられる。
AJAX認可バイパス
本来権限のないユーザーがAJAX経由で特定の操作を実行できてしまう問題。
アップデート方法
ダッシュボードから
- WordPress管理画面にログイン
- 「更新」メニューをクリック
- 「今すぐ更新」を実行
WP-CLIから
wp core update
自動更新が有効な場合
マイナーリリースの自動更新が有効なら、すでに適用されている可能性がある。wp-admin で現在のバージョンを確認。
個人開発者への示唆
今日やること
- 本番サイトのバージョン確認: 6.9.2未満なら即アップデート
- ステージング環境での検証: 重要なサイトはステージングで先に確認
- バックアップ確認: アップデート前にバックアップが取れているか確認
プラグイン・テーマ開発者向け
- HTML API・Block Registryの使い方を見直す
data-wp-bindの使用箇所でサニタイズを確認- PclZip依存がある場合はパス検証を強化
長期的な対策
- 自動更新の有効化を検討
- セキュリティ系プラグイン(Wordfence等)の導入
- WAF(Web Application Firewall)の導入