WordPressのデータベースをバックアップするプラグイン「Database Backup for WordPress」において、セキュリティ上の問題が確認されました。影響を受けるのは、バージョン 2.5.2 までのすべてのバージョンです。
本脆弱性を悪用された場合、特定の条件を満たす環境において、認証されていない第三者がデータベースの内容を取得したり、サーバー上のファイルを読み取り・削除したりする可能性があります。
対策として、バージョン 2.5.3 以降への更新を推奨します。
なお、この問題が悪用されるのは特定の構成(マルチサイトなど)に限られます。一般的な単一サイト構成では、解析した限り悪用の経路は確認できませんでした。条件の詳細は「想定される被害」内の「被害発生の条件」をご覧ください。
脆弱性詳細
本脆弱性は、バックアップ機能を呼び出す際の「操作する人に十分な権限があるか」の確認処理が、一部の環境で正しく働かない状態にあったことに起因します。
あわせて、バックアップの保存先を外部からの指定で変更できたこと、バックアップファイルの名前が推測しやすい形式だったことが重なり、本来アクセスできないはずの利用者でも処理を実行できる状況となっていました。
想定される被害
解析で確認できた挙動に基づくと、悪用された場合に次のような被害のおそれがあります。
データベース内容の取得
- バックアップにはデータベース全体が含まれ、その内容(登録ユーザーの情報や、パスワードを変換した値〈ハッシュ値〉など)が第三者に取得される
サーバー上のファイルの読み取り・削除
- 保存先とファイル名の指定を組み合わせることで、バックアップ以外のファイルが読み取られたり、削除されたりする
被害発生の条件
以下をすべて満たす環境でのみ、悪用が成立します。
- サイトが「マルチサイト(複数サイトをまとめて管理する構成)」で運用されている
- 古いWordPressで使われていた内部機能(is_site_admin)が動作環境に残っている
- (バックアップを横取りする経路では)定期バックアップの設定が有効になっている
技術的な詳細
(やや専門的な内容です)コード解析の結果、次の3点が要因として確認できました。
- 権限確認の結果が活かされていなかった
- 権限を確認する処理は呼び出されていたものの、その「確認結果(許可されたかどうか)」を判定に使っていませんでした。さらに、特定のマルチサイト環境では、権限がない場合でも処理を中断せずに進む経路が残っていました。
- バックアップの保存先を外部から指定できた
- 保存先のフォルダーをリクエストの値で変更できる仕組みになっており、外部から公開フォルダーなどを指定できる状態でした。
- バックアップファイル名が推測しやすかった
- ファイル名がデータベース名・テーブルの接頭辞・日付などから機械的に決まる形式で、ランダムな要素が含まれていませんでした。そのため、保存場所さえ分かれば、ファイル名を推測して取得することが容易でした。
対策版(2.5.3)では、権限確認の結果を確実に判定へ反映するよう修正され、保存先を外部から指定する仕組みが削除され、ファイル名にランダムな文字列が追加されています。
攻撃の流れ(模倣防止のため要点のみ)
- 本来は管理者だけが使う処理の入口へ、権限確認をすり抜ける形でリクエストを送る
- 保存先として〈省略〉な場所を指定し、推測した名前のファイルにアクセスする
- 結果として、データベース内容やサーバー上のファイルにアクセスする
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.5.3 以降)へ更新してください。
- 自サイトが影響条件に該当するかの確認
- まず、サイトが「マルチサイト構成」かどうかをご確認ください。単一サイト構成の場合、解析した限りでは悪用の経路は確認できませんでした。マルチサイトを利用していない場合、影響の可能性は低いと考えられます。
- 不審なバックアップファイルの有無の確認
- 公開フォルダー(例:wp-content/uploads/ など)に、身に覚えのない、拡張子が「.sql」または「.sql.gz」のファイルが置かれていないかを確認してください。これらはデータベースのバックアップ形式にあたり、想定外の場所にある場合は、第三者によって出力された可能性があります。
- 発見した場合は内容を確認のうえ、必要に応じて削除し、専門家へご相談ください。
- 定期バックアップ設定の確認
- 定期バックアップ(スケジュール)を使用していない場合は、設定が無効になっているかご確認ください。使っていない機能を無効にしておくことで、横取りの経路を減らせます。
⇒不審なファイルや、意図しないデータベース出力の痕跡が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
Database Backup for WordPress 2.5.2 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-4029 
(公開日 2026年5月14日 更新日 2026年5月14日)
CVE-2026-4030
(公開日 2026年5月14日 更新日 2026年5月14日)
CVE-2026-4031
(公開日 2026年5月14日 更新日 2026年5月14日)
脆弱性の深刻度 (CVSS v3)
基本値(最大): 8.1 (重要) [Wordfence]
(CVE-2026-4030 の値。関連する CVE-2026-4029・CVE-2026-4031 はいずれも 7.5)
脆弱性脅威度(EPSS)
CVE-2026-4030 悪用確率 0.19% (上位59%) 2026年6月9日時点
参考
Database Backup for WordPress <= 2.5.2 – Missing Authorization to Unauthenticated Database Export
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Database Backup for WordPress プラグインをご利用中のお客様には、対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
