プラットフォーム
wordpress
コンポーネント
s2member
修正版
260127.0.1
s2Memberプラグインは、WordPressサイトにおける会員制機能やコンテンツ制限を提供する人気のプラグインです。CVE-2026-1994は、このプラグインのバージョン0.0.0から260127までのバージョンに存在する特権昇格の脆弱性であり、攻撃者はユーザーの認証を適切に検証しないため、任意のユーザーのパスワードをリセットし、アカウントを乗っ取ることが可能です。2026年2月19日に公開され、バージョン260215で修正されています。
この脆弱性は、攻撃者がWordPressサイトの管理者アカウントを乗っ取ることを可能にし、サイト全体の完全な制御を獲得する可能性があります。攻撃者は、機密情報(ユーザーデータ、支払い情報など)にアクセスしたり、サイトを改ざんしたり、悪意のあるコンテンツを配信したりする可能性があります。特に、会員制コンテンツや支払い機能を提供するサイトでは、重大な影響が想定されます。この脆弱性の悪用は、サイトの信頼性を損ない、法的責任を問われる可能性もあります。攻撃者は、既存のWordPressサイトに侵入し、s2Memberプラグインの脆弱性を悪用することで、広範囲にわたる被害をもたらす可能性があります。
CVE-2026-1994は、CISA KEVカタログに登録されていません。公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。NVD(National Vulnerability Database)は2026年2月19日に公開されています。攻撃者は、WordPressサイトの脆弱性をスキャンし、s2Memberプラグインの古いバージョンを特定することで、この脆弱性を悪用する可能性があります。
エクスプロイト状況
EPSS
0.10% (28% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、s2Memberプラグインをバージョン260215以上にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、プラグインのアクセスを制限する、またはユーザーのパスワード変更機能を一時的に無効化することを検討してください。WordPressのセキュリティプラグインを使用して、不正なパスワード変更試行を監視することも有効です。また、WordPressのログイン試行回数を制限する設定を有効にすることで、ブルートフォース攻撃のリスクを軽減できます。アップデート後、プラグインのバージョンが最新であることを確認し、セキュリティ設定が適切に構成されていることを確認してください。
バージョン 260215、またはそれ以降の修正バージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1994は、s2Memberプラグインのバージョン0.0.0~260127において、認証されていない攻撃者が任意のユーザーのパスワードを変更し、アカウントを乗っ取ることができる特権昇格の脆弱性です。
s2Memberプラグインのバージョン0.0.0から260127を使用しているWordPressサイトは、この脆弱性の影響を受けます。
s2Memberプラグインをバージョン260215以上にアップデートしてください。
現時点では公開PoCは確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
s2Memberの公式ウェブサイトまたはWordPressプラグインリポジトリで最新情報を確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。