複数の深刻なWordPressプラグインの脆弱性(CVE-2026-1743、CVE-2026-1891、CVE-2026-2034)が800万以上のウェブサイトをリモートコード実行のリスクにさらしています。NIS2規制企業は24時間以内の報告義務に直面しています——アクションプランはこちら。
WP Advanced Forms(バージョン < 3.4.2)の深刻な未認証リモートコード実行脆弱性により、攻撃者が任意のPHPコードを実行可能。300万以上のアクティブインストールが影響を受けています。
ElementorPro Widgets(バージョン < 4.1.7)のSQLインジェクション脆弱性により、データベース全体の抽出が可能。280万サイトが危険にさらされています。
WooCommerce Payments Gateway(バージョン < 6.9.3)の認証バイパスにより、管理者権限への昇格が可能。250万のECサイトが潜在的に影響を受けています。
| CVE | プラグイン | CVSS | アクティブインストール | 修正バージョン |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 310万 | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 280万 | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 250万 | 6.9.3 |
これらの脆弱性は合計で、世界中の800万以上のWordPressインストールに影響を与えています。
EU NIS2指令(指令2022/2555)の下、必須または重要な事業体として分類された組織は厳格な義務に直面しています:
NIS2第23条は、重大なインシデントを認識してから24時間以内の早期警告を義務付けています。
完全なインシデント通知を国家CSIRTに72時間以内に提出する必要があります。
wp plugin list --status=active を実行警戒を怠らず。— KENSAIセキュリティチーム