つみかさね

CVE-2026-7458

Critical(9.8)

CVE-2026-7458 — WordPress User Verification OTP検証の認証バイパス脆弱性

公開日: 2026-05-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
User VerificationPickPlugins2.0.46 以前

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1User Verification by PickPluginsプラグインのバージョン2.0.46以前を使用しているか確認
  2. 2最新バージョンへのアップデートを速やかに実施
  3. 3アップデート不可の場合はプラグインを一時的に無効化
  4. 4不正ログインの形跡がないかアクセスログを確認

影響対象

WordPress (User Verification by PickPlugins プラグイン)

補足

  • -未認証で任意ユーザーとしてログイン可能なため、最優先で対応してください
CVEWordPressUser Verification認証バイパス

概要

WordPress 用プラグイン「User Verification by PickPlugins」のバージョン 2.0.46 以前に、認証バイパスの脆弱性が存在します。

この脆弱性は、OTP(ワンタイムパスワード)の検証処理において PHP の緩やかな比較演算子(==)が使用されていることに起因します。PHP の型変換の仕様により、攻撃者は OTP の値として文字列 "true" を送信することで、正規の OTP を知ることなく検証を通過できてしまいます。

この結果、未認証の攻撃者は、メールアドレスが確認済みの任意のユーザーとしてログインすることが可能となります。管理者アカウントが対象となった場合、サイト全体の制御が奪われる深刻なリスクがあります。

該当プラグインを使用している WordPress サイトでは、直ちに最新バージョンへのアップデートが必要です。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-288 (代替パスまたはチャネルを使用した認証バイパス)

影響を受けるソフトウェア

  • User Verification by PickPlugins バージョン 2.0.46 以前

修正バージョンと回避策

  • 修正方法: プラグインを最新バージョンにアップデートしてください
  • 暫定回避策: プラグインを一時的に無効化し、別の認証手段を利用してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-4882WordPress User Registration Advanced Fields 任意ファイルアップロードCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-7458
Wordfence:https://www.wordfence.com/threat-intel/vulnerabilities/id/35b86488-8f68-4738-a9a8-76d0b7976165?source=cve
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。