🔥 この記事の詳細
2026-07-18 更新
B
今週中

WordPress Coreに、リモートコード実行(RCE)につながる2つの脆弱性(CVE-2026-60137およびCVE-2026-63030)の公開PoC

脆弱性🌐 英語ソース📰 3記事🌐 3 countries
🇮🇹 Italy · 🇰🇷 Korea · 🇺🇸 US
🖥️ 製品WordPress
🔢 CVECVE-2026-60137CVE-2026-63030
📅 2026-07-18📰 csirt_it
📌 一言でいうと
WordPress Coreに、リモートコード実行(RCE)につながる2つの脆弱性(CVE-2026-60137およびCVE-2026-63030)の公開PoCが公開されました。これらは、認証なしでアクセス可能なREST APIエンドポイントのルート混乱と、ブラインドSQLインジェクションを組み合わせることで、データベース内の管理者パスワードハッシュなどの機密情報の読み取りや、最終的にRCEを可能にするものです。ベンダーにより修正済みであるため、速やかなアップデートが推奨されます。
🔍該当判定
  • 自社でWordPress(ブログや社内サイト)を運用している
  • WordPressのバージョンを最新版に更新していない
  • WordPressのREST API(/wp-json/ などの機能)を有効にしたまま外部に公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
WordPressを最新バージョンにアップデートし、脆弱性が修正された状態であることを確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WordPress RCE脆弱性 (CVE-2026-60137, CVE-2026-63030) 対応について

お疲れさまです。WordPress Coreの脆弱性に関する情報共有です。

■ 概要
WordPress Coreにおいて、認証なしでリモートコード実行(RCE)を可能にする脆弱性の組み合わせが報告されました。ルート混乱(CVE-2026-63030, CVSS 9.8)とブラインドSQLインジェクション(CVE-2026-60137, CVSS 5.9)を連鎖させることで、攻撃者はデータベースからの情報窃取やシステムへの侵入が可能です。現在、公開PoCが存在するため、悪用されるリスクが高まっています。

■ 影響範囲
- 対象製品: WordPress Core
- 影響を受けるバージョン: 修正パッチ適用前のバージョン

■ 対応手順
1. WordPress管理画面より、最新バージョンへのアップデートを適用してください。
2. アップデート後、バージョンが最新であることを確認してください。

■ 参考情報
- WordPress公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 至急
Subject: [Security Alert] WordPress RCE Vulnerabilities (CVE-2026-60137, CVE-2026-63030)

Dear IT Administration Team,

This is a notification regarding critical vulnerabilities identified in WordPress Core.

■ Overview
Two vulnerabilities, CVE-2026-60137 (Blind SQL Injection) and CVE-2026-63030 (Route Confusion in REST API), can be chained to allow an unauthenticated remote attacker to perform Remote Code Execution (RCE) and extract sensitive data from the database. Public PoCs are now available, increasing the risk of exploitation.

■ Scope
- Product: WordPress Core
- Affected Versions: Versions prior to the security patches

■ Mitigation Steps
1. Update WordPress Core to the latest stable version immediately.
2. Verify that the update has been successfully applied across all instances.

■ Reference
- Official WordPress Security Advisory

Priority: High
Deadline: Immediate