WordPressでユーザー登録やメンバーシップ管理を行うプラグイン「User Registration & Membership」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 5.1.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、ログインしていない第三者(未認証の攻撃者)が、登録直後のユーザーアカウントに不正にログインできる可能性があります。
対策として、バージョン 5.1.3 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、メンバーシップの新規登録時に実行される自動ログイン処理において、パスワードによる本人確認を行わずにログインを完了させていたことに起因します。
通常、ユーザーのログインにはパスワードの照合が必要ですが、該当バージョンではこの検証が省略されていたため、ユーザー名を知っている攻撃者に悪用される可能性がありました。
想定される被害
この脆弱性が悪用された場合、以下のような被害が想定されます。
アカウントの不正ログイン
- 登録直後のユーザーアカウントに、第三者がそのユーザーとしてログインできる可能性があります
- 乗っ取ったアカウントに紐づくメンバーシップ情報や個人情報が不正に閲覧・操作されるおそれがあります
被害発生の条件
以下の条件がすべて重なった場合に、被害が発生する可能性があります。
- 対象サイトでメンバーシップ登録機能が有効になっている
- 攻撃者が、登録直後のユーザーのユーザー名を知っている(または推測できる)
- ユーザー登録が完了してから、登録処理中の目印が削除されるまでの短い時間内に攻撃が行われる
この時間窓は非常に短いため、攻撃の複雑さは高いと評価されています(CVSS攻撃条件の複雑さ:高)。
技術的な詳細
本脆弱性は、メンバーシップ登録処理の中で呼び出されるログイン関数に対して、パスワードが引数として渡されていなかった点が原因です。
この問題は、以下の3つの処理に存在していました。
- フロントエンドからの新規メンバー登録処理
- 決済確認後のログイン処理
- サブスクリプション作成後のログイン処理
いずれの処理も、外部(未ログイン状態)からアクセス可能なエンドポイントとして登録されていました。
攻撃者は、登録直後のユーザーに一時的に付与される「登録処理中」を示す目印(ユーザーメタ情報)が残っている間に、細工したリクエストを送信することで、パスワードを知らなくても当該ユーザーとしてログインできる状態でした。
対策版(5.1.3)では、ログイン関数にパスワードが渡されるよう修正されています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(5.1.3 以降)へ更新してください。
- 不正ログインの確認
- WordPress管理画面の「ユーザー」メニューより、
身に覚えのないユーザーや、意図しない権限変更が行われていないか確認してください。 - メンバーシップ管理画面で、不審な登録やサブスクリプションの変更がないか確認してください。
- セキュリティプラグイン等でログイン履歴を確認できる場合は、登録直後のユーザーに対する不審なログイン記録がないか確認してください。
- WordPress管理画面の「ユーザー」メニューより、
- 不審な操作が確認された場合
- 該当ユーザーのパスワードを直ちにリセットしてください。
- 意図しないユーザーアカウントが作成されていた場合は、削除を検討してください。
⇒不審なアカウントや操作が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
User Registration & Membership 5.1.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-1779 
/ RESERVED(2026年2月26日 時点)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-1779 悪用確率 0.11% (上位71%) 2026年2月26日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
User Registration & Membership プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
