WordPressでサイトのバックアップと移行を行うプラグイン「UpdraftPlus: WP Backup & Migration Plugin」において、セキュリティ上の問題が確認されました。影響を受けるのは、無料版はバージョン 1.26.4 まで、有料版(Premium)はバージョン 2.0 から 2.26.5 より前までのすべてのバージョンです。
本脆弱性を悪用された場合、認証されていない第三者によって、管理者になりすました状態でサイトが不正に操作される可能性があります。
対策として、無料版は 1.26.5 以降、有料版は 2.26.5 以降への更新を推奨します。
脆弱性詳細
本脆弱性は、外部のサービス(同社のリモート管理機能「UpdraftCentral」との連携など)とサイトがやり取りする遠隔通信機能に起因します。
この通信では、相手が正規の送信元であることを確認する仕組みが備わっていましたが、その確認が十分に働かない状態となっており、正規の送信元になりすました通信を受け入れてしまうおそれがありました。
想定される被害
この脆弱性が悪用された場合、解析上、以下の被害が想定されます。
なりすましによる不正操作
- 認証されていない第三者が、連携中の管理者になりすました状態で命令を実行する
- その命令を通じて、不正なプラグインがサイトに導入・有効化される
- 導入された不正なプラグインを通じて、サイトを不正に制御される
被害発生の条件
以下の条件が重なった場合に、被害が発生する可能性があります。
- 該当バージョンのプラグインを利用している
- サイトが外部からの遠隔通信を受け付ける状態にある
- 攻撃者がその受信窓口にリクエストを送信できる
ログインや管理者の操作を必要とせず、外部から直接悪用される点に注意が必要です。
技術的な詳細
(やや専門的な内容です。)
本脆弱性は、遠隔通信を受け付ける処理に、主に2つの不備があったことが原因です。
ひとつは、通信形式の指定を送信側に委ねており、攻撃者が古い形式を選ぶと送信元を確かめる仕組みがまったく働かなくなる点です。
もうひとつは、暗号化された通信を解読する処理で、解読が失敗したかどうかを確認していなかった点です。このため、解読が失敗すると暗号鍵が「誰でも予測できる固定値」に確定してしまう状態でした。
この2点が重なることで、攻撃者は正規の鍵を持たなくても、サイトが正規の通信として受け入れてしまう命令を作り出せる状況となっていました。
対策版では、古い通信形式の受け入れをごく一部の用途に限定し、解読結果が正しいかを確認する処理が追加されています。
攻撃の流れ(概要)
- 攻撃者が、遠隔通信の受信窓口に古い通信形式〈省略〉を指定したリクエストを送る
- この形式では送信元を確かめる仕組みが働かない
- 解読処理の戻り値が確認されないため、暗号鍵が予測可能な固定値〈省略〉に確定する
- 攻撃者はこの予測可能な鍵で命令を偽造し、管理者になりすました状態で実行させる
※ 模倣防止のため、具体的な値や手順は伏せています。
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(無料版 1.26.5 以降/有料版 2.26.5 以降)へ更新してください。
- 被害確認
- WordPress管理画面の「プラグイン」一覧を開き、身に覚えのないプラグインが追加・有効化されていないかを確認してください。
- 「ユーザー」一覧を開き、身に覚えのない管理者アカウントが存在しないかを確認してください。
- 不審なプラグインやアカウントが見つかった場合は、停止・削除のうえ専門家へ相談してください。
- サーバーのアクセスログを確認できる場合は、通信パラメータ「udrpc_message」を含み、古い通信形式「format=1」を指定したPOSTリクエストが届いていないかを併せて確認すると、攻撃の痕跡を把握する手がかりになります。
- 今後の予防策
- 利用していない場合は、外部からの遠隔連携(UpdraftCentral)を無効にしておくと、受信窓口を経由した悪用のリスクを下げられます。
- WAF(Web Application Firewall)の導入は、外部からの不正なリクエストの遮断に有効です。
⇒不審なプラグイン・管理者アカウント・操作履歴が確認された場合は、WordPressの専門家などへの相談を推奨します。
影響を受けるバージョン
UpdraftPlus: WP Backup & Migration Plugin(無料版)1.26.4 までのバージョン
UpdraftPlus Premium(有料版)2.0 から 2.26.5 より前までのバージョン
脆弱性情報 (CVE-ID)
CVE-2026-10795 
(公開日 2026年6月11日 更新日 2026年6月11日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重要) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2026-10795 悪用確率 1.25% (上位35%) 2026年6月16日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
UpdraftPlus プラグインをご利用中のお客様には、
対策バージョンへの更新状況および推奨対応事項について、順次メールにてご案内しております。
