サポート

【重要】WordPressの脆弱性(wp2shell/CVE-2026-63030)に関する注意喚起とサーバー側対策のお知らせ

2026/07/19

平素は弊社運営サービスをご利用いただき、誠にありがとうございます。

このたび、コンテンツ管理システム「WordPress」のコア機能において、
外部からの攻撃により第三者による任意のコード実行(Webサイトの乗っ取り)を引き起こすおそれのある
重大な脆弱性(CVE-2026-63030、通称「wp2shell」)が公表されました。

本脆弱性は、認証やログインを必要とせず、
また導入しているプラグインやテーマの有無にかかわらず、
該当バージョンのWordPressをご利用の場合に影響を受けるものです。

現時点で、当サービスにおける本脆弱性を悪用した被害は確認しておりませんが、
お客様のWebサイトを安全にご利用いただくための暫定的な対策として
対象サーバーにおいて本脆弱性の攻撃経路となるREST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を
遮断する対応を実施いたしました。

ただし、本対応はあくまで被害の発生を抑えるための暫定的な措置であり、根本的な解決には至りません。
恒久的な対策として、お客様ご自身によるWordPress本体のアップデートを何卒よろしくお願いいたします。

お客様には大変ご迷惑をおかけいたしますが、安全なサービス提供を最優先とした対応となりますので
何卒ご理解とご協力を賜りますようお願い申し上げます。

----------------------------------------------------------------------

■公表された脆弱性
 CVE-2026-63030(通称:wp2shell)
 ※連携して悪用されるSQLインジェクションの脆弱性(CVE-2026-60137)を含みます。

■影響を受けるWordPressのバージョン
 ・WordPress 6.9.0 〜 6.9.4
 ・WordPress 7.0.0 〜 7.0.1
 ・WordPress 6.8.0 〜 6.8.5(連携するSQLインジェクションの影響対象)

■対象サービス
 エックスサーバー
 XServerビジネス
 XServer for WordPress

■弊社にて実施済みの対策
 対象サーバーにおいて、REST APIのバッチエンドポイント(/wp-json/batch/v1)への通信を遮断(2026年7月19日 AM6:30頃 実施)

■お客様への影響について(重要)
 上記の遮断対応に伴い、REST APIのバッチ処理機能(batch v1//wp-json/batch/v1)が一時的にご利用いただけなくなっております。
 通常のWebサイトの表示・閲覧、および管理画面の操作には影響ありませんが、
 batch v1のREST APIを利用したプラグイン・テーマ・外部連携・独自開発の機能をご利用の場合、
 当該機能が正常に動作しなくなる可能性があります。

■お客様へのお願い(重要)
 お客様がご利用中のWordPressを、以下の修正版以降へ速やかにアップデートしてください。
 ・6.9.x をご利用の場合 → 6.9.5 以降
 ・7.0.x をご利用の場合 → 7.0.2 以降
 ・6.8.x をご利用の場合 → 6.8.6 以降
 ※自動更新を有効にされている場合も、実際にアップデートが完了しているか管理画面にてご確認ください。

■今後の対応について
 恒久的な対策として、お客様のWordPressアップデート状況および攻撃の状況を継続して確認のうえ、
 安全が確認でき次第、遮断対応の解除を検討いたします。
 状況に変化があった場合は、改めてご案内いたします。

----------------------------------------------------------------------

弊社では、今後もお客様に安心してご利用いただけるよう、サービスおよびセキュリティの向上に努めてまいります。
今後ともどうぞよろしくお願い申し上げます。
  • ニュースページに掲載されている内容は、発表時点の情報です。
    その後、予告なく変更となる場合がありますので、あらかじめご了承ください。

ニュース一覧に戻る