CVE-2026-7635: PHP Object Injection in WordPress coreActivity Plugin
プラットフォーム
wordpress
コンポーネント
coreactivity
修正版
3.1
CVE-2026-7635は、WordPressプラグイン「coreActivity: Activity Logging」において検出されたPHPオブジェクトインジェクションの脆弱性です。この脆弱性は、攻撃者がUser-Agent HTTPヘッダーを介して悪意のあるPHPコードを注入し、サーバー上でコードを実行することを可能にします。影響を受けるバージョンは0から3.0までです。プラグインのバージョン3.1へのアップデートでこの脆弱性は修正されています。
このCVEがあなたのプロジェクトに影響するか確認
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
影響と攻撃シナリオ
この脆弱性を悪用されると、攻撃者はWordPressサイト上で任意のコードを実行できる可能性があります。User-Agentヘッダーに悪意のあるPHPオブジェクトを注入することで、データベースへの不正アクセス、機密情報の窃取、ウェブサイトの改ざん、さらにはサーバー全体の制御奪取といった深刻な被害につながる可能性があります。特に、WordPressサイトの管理権限を取得した場合、他のプラグインやテーマへの影響も考えられ、攻撃範囲は広がる可能性があります。この脆弱性は、Log4Shellのようなシリアライゼーション攻撃と同様のパターンを示すため、注意が必要です。
悪用の状況
このCVEは2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Test)の評価は未定です。EPSS(Exploit Prediction Scoring System)のスコアもまだ算出されていません。公開されているPoC(Proof of Concept)は確認されていませんが、PHPオブジェクトインジェクションの脆弱性は悪用事例が多く、今後活発な攻撃が行われる可能性があります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威動向を把握することが重要です。
脅威インテリジェンス
エクスプロイト状況
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
- Privileges Required
- なし — 認証不要。資格情報なしで悪用可能。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化なし — 影響は脆弱なコンポーネントのみ。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- Reserved
- 公開日
緩和策と回避策
この脆弱性への対応策として、まずプラグインをバージョン3.1にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、User-AgentヘッダーからのPHPシリアライズデータの入力をブロックするルールを設定することを検討してください。また、WordPressの設定でdefine('DISABLEUNSERIALIZEDOBJECTS', true); を追加することで、unserialize()関数の使用を無効化し、攻撃のリスクを軽減できます。アップデート後、WordPressサイトのログを監視し、不正なアクセスやコード実行の兆候がないか確認してください。
修正方法
バージョン 3.1 以上、または新しいパッチバージョンにアップデートしてください
よくある質問
CVE-2026-7635 — PHPオブジェクトインジェクションはWordPressのcoreActivityプラグインで何ですか?
CVE-2026-7635は、WordPressのcoreActivityプラグインのバージョン0–3.0において、User-AgentヘッダーからのPHPシリアライズデータの検証不足により発生するPHPオブジェクトインジェクションの脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上で任意のコードを実行する可能性があります。
CVE-2026-7635でWordPressのcoreActivityプラグインを使用している場合、影響を受けますか?
はい、WordPressのcoreActivityプラグインのバージョンが0から3.0までの場合、この脆弱性の影響を受けます。バージョン3.1にアップデートすることで、この脆弱性を修正できます。
CVE-2026-7635でWordPressのcoreActivityプラグインを修正するにはどうすればよいですか?
CVE-2026-7635を修正するには、WordPressのcoreActivityプラグインをバージョン3.1にアップデートしてください。アップデートが困難な場合は、WAFを導入したり、WordPressの設定でDISABLEUNSERIALIZEDOBJECTSを有効にすることを検討してください。
CVE-2026-7635は現在積極的に悪用されていますか?
現時点では、CVE-2026-7635に対する公開PoCは確認されていませんが、PHPオブジェクトインジェクションの脆弱性は悪用事例が多く、今後活発な攻撃が行われる可能性があります。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。
CVE-2026-7635に関するWordPressの公式アドバイザリはどこで入手できますか?
coreActivityプラグインの公式ウェブサイトまたはWordPressの公式セキュリティアドバイザリで、CVE-2026-7635に関する情報を確認できます。プラグインのアップデート情報もここで確認してください。
このCVEがあなたのプロジェクトに影響するか確認
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
WordPressプロジェクトを今すぐスキャン — アカウント不要
Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.
依存関係ファイルをドラッグ&ドロップ
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...