WordPress向けプラグイン WP Maps Pro に、未認証の攻撃者がWordPressの管理者アカウントを作成できる重大な脆弱性 CVE-2026-8732 が公開されました。
Wordfenceによると、この脆弱性は WP Maps Pro 6.1.0以前に影響し、認証されていない攻撃者が新しい管理者アカウントを作成し、対象サイトを完全に乗っ取る可能性があります。CVSS v3.1スコアは9.8で、Criticalに分類されています。
Patchstackも同脆弱性について Known to be exploited として悪用確認済みの扱いで公開しており、対象プラグインを利用しているWordPressサイトでは、早急な更新と不審な管理者アカウントの確認が必要です。
この記事のサマリー
- WP Maps Pro に CVE-2026-8732 として管理される重大脆弱性が公開されました。
- CVSS v3.1スコアは9.8で、Criticalに分類されています。
- WordfenceとNVDでは、影響バージョンは WP Maps Pro 6.1.0以前とされています。
- Patchstackでは WP Maps Pro 6.0.4以前と記載されていますが、開発元も6.1.0以下を影響対象として案内しているため、6.1.0以下は影響対象として扱うべきです。
- 未認証の攻撃者がWordPress管理者アカウントを作成し、サイトを完全に乗っ取る可能性があります。
- 修正版は WP Maps Pro 6.1.1 です。
- WePlugins Coreを利用している場合は、WePlugins Core 1.0.7への更新も案内されています。
- すでに [email protected] に関連する管理者アカウントや、不明な管理者アカウントが作成されていないか確認が必要です。
目次
WP Maps Proとは
WP Maps Proは、WordPressサイトにGoogle MapsやOpenStreetMapベースの地図、店舗検索、拠点一覧、投稿やカスタム投稿タイプの地図表示などを追加できる商用プラグインです。
CodeCanyon上では Store Locator for WordPress – Google Maps | OpenStreetMap | MapBox として提供されており、店舗検索、施設案内、拠点マップ、カテゴリ絞り込み、カスタム投稿の地図表示などに使われます。
企業サイト、店舗検索ページ、医療機関・教育機関・不動産・小売・サービス業の拠点検索ページなどで利用される可能性があり、WordPress本体やテーマではなく、外部プラグインとして導入されている点に注意が必要です。
何が起きたか
Wordfenceは、WP Maps Proに未認証の管理者アカウント作成脆弱性があると公表しました。
この脆弱性は、WP Maps Proの Temporary Access 機能に関連しています。本来はベンダーのサポート担当者がトラブルシューティング時に一時的にログインするための機能ですが、権限チェックが不十分だったため、未認証の第三者でも処理を呼び出せる状態になっていました。
Wordfenceによると、問題のAjaxアクションは未認証ユーザーから呼び出せる形で登録されており、nonceチェックは存在したものの、そのnonceがフロントエンドページ上のJavaScriptオブジェクトに埋め込まれていたため、実質的なアクセス制御として機能していませんでした。
その結果、攻撃者は管理者権限を持つWordPressユーザーを作成し、返却されたログインURLを使って、パスワードなしで新規管理者として認証される可能性がありました。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-8732 |
| 対象 | WP Maps Pro |
| プラグイン識別子 | wp-google-map-gold |
| 脆弱性種別 | 未認証の権限昇格、管理者アカウント作成 |
| CVSS | 9.8 Critical |
| 影響バージョン | Wordfence・NVDでは6.1.0以前、Patchstackでは6.0.4以前 |
| 修正版 | WP Maps Pro 6.1.1 |
| 関連更新 | WePlugins Core 1.0.7 |
| 悪用状況 | Patchstackで悪用確認済み扱い |
| 想定影響 | WordPressサイトの完全乗っ取り |
原因
原因は、Temporary Access機能に関する権限チェックの不足です。
問題の処理では、未認証ユーザーから呼び出せるAjaxアクションが登録されており、nonceチェックだけで保護されていました。しかし、そのnonceはフロントエンドページに埋め込まれており、サイト訪問者が取得できる状態でした。
nonceはリクエストの正当性確認には使えますが、権限を確認する仕組みではありません。今回のように、誰でも取得できるnonceだけで重要処理を保護していた場合、認証・認可の代わりにはなりません。
Wordfenceの分析では、この処理を通じて、[email protected] のメールアドレスを持つ管理者アカウントが作成される可能性がありました。さらに、作成されたアカウントに対してログイン用URLが生成され、攻撃者がそのURLへアクセスすることでWordPress管理者としてログインできる可能性があります。
開発元のWePluginsも、Temporary Access機能に関連する問題として、未認可ユーザーが [email protected] を使って作成されたアカウント経由で管理者アクセスを取得できた可能性を案内しています。
修正版の内容
開発元は WP Maps Pro 6.1.1 で修正を行いました。
Wordfenceによると、修正版では問題のAjax処理に対して current_user_can('manage_options') による権限チェックが追加され、認証済みの管理者のみが処理を実行できるようになりました。
WePluginsは、WP Maps Pro 6.1.1 に加え、WePlugins Coreを利用しているユーザーに対して WePlugins Core 1.0.7 への更新も案内しています。
利用者は、WP Maps Proの購入元や配布形態に応じて、CodeCanyon版またはWePlugins Subscription版の更新手順を確認する必要があります。
影響範囲
影響を受ける可能性があるのは、WP Maps Proを導入しているWordPressサイトです。
Wordfenceは、WP Maps Proについて15,000件以上の販売実績があると説明しています。CodeCanyon上でも同プラグインは多数販売されており、店舗検索や拠点表示などに使われる可能性があります。
特に注意が必要なのは、以下のようなサイトです。
| サイト種別 | 想定される影響 |
|---|---|
| 企業サイト | 管理者権限奪取による改ざん、問い合わせ情報の漏えい |
| 店舗検索サイト | 店舗情報改ざん、偽リンク挿入、SEOスパム |
| EC・予約連携サイト | 顧客導線の改ざん、決済ページへの誘導改ざん |
| 医療・教育・自治体関連サイト | 利用者情報や問い合わせ情報への影響 |
| 制作会社管理サイト | 複数顧客サイトへの横展開 |
| 休眠サイト | 更新されず、攻撃対象として残りやすい |
WordPressサイトの管理を外部制作会社や保守ベンダーへ委託している場合、自社側でWP Maps Proの導入有無を把握していないことがあります。テーマや固定ページ上で地図が表示されているだけでは、どのプラグインを使っているか分からないため、管理画面やサーバー上のプラグイン一覧で確認する必要があります。
すぐに実施すべき対応
Step 1:WP Maps Proの利用有無を確認する
まず、自社サイトでWP Maps Proを利用しているか確認してください。
WordPress管理画面のプラグイン一覧、またはサーバー上のプラグインディレクトリを確認します。
ls -la wp-content/plugins/ | grep -i "wp-google-map"
ls -la wp-content/plugins/ | grep -i "wpgmp"
ls -la wp-content/plugins/ | grep -i "maps"
プラグイン名がWP Maps Proとして表示されていない場合でも、ディレクトリ名や内部識別子として wp-google-map-gold が使われている可能性があります。
Step 2:WP Maps Pro 6.1.1以降へ更新する
WP Maps Proを利用している場合は、6.1.1以降へ更新してください。
Wordfence、NVD、開発元のWePluginsは6.1.0以下を影響対象として扱っています。Patchstackでは6.0.4以下と記載されていますが、運用上は6.1.0以下を危険なバージョンとして扱うべきです。
WePlugins Subscription版を利用している場合は、WePlugins Core 1.0.7への更新も実施してください。
Step 3:不審な管理者アカウントを確認する
開発元は、WordPress管理画面のユーザー一覧を確認し、[email protected] に関連するアカウントや、不明な管理者アカウントを削除するよう案内しています。
確認対象は以下です。
| 確認対象 | 内容 |
|---|---|
| 管理者ユーザー | 身に覚えのない管理者が追加されていないか |
| メールアドレス | [email protected] のユーザーが存在しないか |
| 作成日時 | 直近で不自然に作成されたユーザーがないか |
| 表示名 | fc_user_ など不自然なユーザー名がないか |
| 権限 | Administrator権限を持つ不要ユーザーがないか |
WP-CLIが利用できる場合は、以下のように管理者ユーザーを確認できます。
wp user list --role=administrator
不審な管理者アカウントが見つかった場合は、単に削除するだけでなく、サイト全体が侵害されている前提で調査してください。
Step 4:管理者パスワードと認証情報を変更する
不審な管理者アカウントが見つかった場合、攻撃者がすでに管理画面へログインし、別のバックドアやプラグインを設置している可能性があります。
以下を確認してください。
| 対象 | 対応 |
|---|---|
| WordPress管理者 | 全管理者パスワード変更 |
| FTP/SFTP | パスワード変更、不要アカウント削除 |
| SSH | 鍵とログイン履歴確認 |
| データベース | DBユーザーのパスワード変更 |
| ホスティング管理画面 | 管理者パスワードとMFA確認 |
| 外部連携 | APIキー、フォーム連携、メール配信連携の確認 |
Step 5:改ざん・マルウェア設置の有無を確認する
管理者権限を奪われたWordPressでは、攻撃者が悪意あるプラグインやテーマ改ざんを行う可能性があります。
確認すべき項目は以下です。
| 確認対象 | 見るべき内容 |
|---|---|
| プラグイン一覧 | 不審な新規プラグイン、無名プラグイン |
| テーマファイル | functions.php やテンプレートの不審コード |
| uploads配下 | PHPファイルや不審なスクリプト |
| wp-config.php | 不審な追記、外部通信設定 |
| .htaccess | 不審なリダイレクト、隠しルール |
| 管理画面 | 不審なユーザー、投稿、固定ページ、ウィジェット |
| 外部通信 | 攻撃者サーバーへの通信、SEOスパムリンク |
以下のような簡易確認も有効です。
find wp-content/uploads -type f -name "*.php"
find wp-content -type f -mtime -14
grep -Rni "eval\|base64_decode\|gzinflate\|shell_exec\|passthru" wp-content 2>/dev/null
ただし、これだけで安全を確認できるわけではありません。侵害が疑われる場合は、バックアップとの差分確認、WAFログ、Webアクセスログ、WordPress監査ログをあわせて確認してください。
Step 6:アクセスログで悪用の痕跡を確認する
CVE-2026-8732では、WordPressのAjax処理やTemporary Access機能に関するリクエストが悪用される可能性があります。
確認すべきログは以下です。
| ログ | 確認内容 |
|---|---|
| Webアクセスログ | admin-ajax.php への不審なPOST |
| WordPressログ | 管理者ユーザー作成、ログイン成功 |
| WAFログ | WP Maps Pro関連リクエスト、nonce取得の連続試行 |
| 管理画面ログ | 不審IPからのログイン、プラグイン追加 |
| サーバーログ | PHPエラー、不審なファイル作成 |
| CDNログ | 同一IPからの多数サイト探索 |
ログ調査では、脆弱性公表後だけでなく、WordfenceがPoCを検証した2026年5月16日以降、さらに余裕を持って過去ログを確認することが望まれます。
WordPress運用者が確認すべきポイント
WP Maps Proを使っていないサイトでも、今回の事案はWordPress運用全体の確認材料になります。
WordPressサイトでは、地図、フォーム、スライダー、バックアップ、キャッシュ、SEO、会員管理、決済連携など、多数のプラグインが導入されがちです。不要になったプラグインや、制作会社が導入したまま放置された商用プラグインは、脆弱性対応から漏れやすくなります。
確認すべき項目は以下です。
| 項目 | 確認内容 |
|---|---|
| プラグイン棚卸し | 利用中・停止中・不要なプラグインを一覧化 |
| 商用プラグイン | CodeCanyonなど外部配布プラグインの更新経路 |
| 管理者権限 | 制作会社、退職者、旧担当者の管理者が残っていないか |
| 自動更新 | WordPress.org外のプラグインも更新管理できているか |
| WAF | WordPress向け攻撃ルールが有効か |
| バックアップ | 改ざん前へ戻せるバックアップがあるか |
| 監査ログ | ユーザー作成、プラグイン追加、テーマ編集を記録しているか |
特に商用プラグインは、WordPress公式ディレクトリの自動更新だけでは管理できない場合があります。CodeCanyonや開発元アカウント、ライセンス管理、手動アップロードの手順まで確認してください。
今後確認すべきこと
今回のCVE-2026-8732は、管理者アカウント作成に直結するため、脆弱な状態で公開されていたサイトでは、更新後も侵害調査が必要です。
今後確認すべき点は以下です。
| 確認点 | 理由 |
|---|---|
| WP Maps Pro 6.1.1以降への更新完了 | 根本的な修正が含まれるため |
| WePlugins Core 1.0.7への更新 | WePlugins Subscription版利用時に必要なため |
[email protected] 関連ユーザー |
開発元が確認・削除を案内しているため |
| 不明な管理者アカウント | 攻撃者が追加している可能性があるため |
| 不審なプラグイン・テーマ改ざん | 管理者権限取得後にバックドア設置される可能性があるため |
| Webアクセスログ | 悪用試行や侵害時刻を特定するため |
| Google Search Console | SEOスパムや不審URL生成の確認に必要なため |
| ホスティング側ログ | WordPressログだけでは侵害範囲を判断できないため |








