Cloudflare、WordPress の重大脆弱性対策を公開
Cloudflare は WordPress の REST API を狙った未認証リモートコード実行および SQL インジェクションの重大脆弱性に対し、WAF ルールを即時展開し、パッチ適用までの間隙を埋める防御策を提供した。
キーポイント
重大な脆弱性の特定とリスク評価
WordPress の REST API における未認証リモートコード実行(CVE-2026-63030、Critical)および SQL インジェクション(CVE-2026-60137、High)が特定され、ログイン不要で攻撃が可能である。
Cloudflare WAF による即時防御
Cloudflare は脆弱性公開前に WordPress セキュリティチームから通知を受け、2026 年 7 月 17 日 UTC 17:03 に全プラン(無料含む)の顧客向けにブロックルールをデプロイした。
WordPress パッチ適用の優先度と範囲
WordPress は本件を最優先とし、バージョン 7.0.2 および後方互換性パッチ(6.9.5, 6.8.6)をリリースし、影響を受けるサイトへの自動更新を強制している。
運用上の推奨事項と注意点
WAF ルールはパッチの代替ではないため、管理者は Managed Rules の設定を確認し、ブロック動作が維持されているか監視しながら速やかにシステムを更新する必要がある。
WAF ルールによる二重防御
SQL インジェクションと認証不要の RCE をそれぞれ検知するルールが、攻撃を異なる段階で阻止します。
根本的な修正はアップデートのみ
WAF ルールはリスクを低減しますが脆弱性を解消しないため、WordPress の更新が最も効果的な対策です。
重要な引用
Cloudflare has deployed new Web Application Firewall (WAF) protections for two critical vulnerabilities affecting WordPress.
The rules were deployed at 17:03 UTC on July 17 2026.
WordPress is treating this as its highest-severity, highest-priority class of issue and is forcing automatic updates to affected sites.
Updating WordPress remains the most effective way to address the vulnerabilities.
These rules reduce risk while organizations update affected systems; they do not fix the underlying vulnerable code.
影響分析・編集コメントを表示
影響分析
本ニュースは、大規模な CMS エコシステムにおける深刻なセキュリティインシデントに対し、クラウドプロバイダーが即座にミドルウェアレベルで防御を提供し、ユーザー側の対応を支援する「Defense in Depth」戦略の成功事例を示しています。WordPress の自動更新機能と WAF ルールの連携により、攻撃窓(Window of Exposure)を劇的に短縮できる可能性がありますが、管理者による最終的なパッチ適用確認の重要性も再認識させる内容です。
編集コメント
今回の対応は、脆弱性公開前の情報共有体制と、WAF を活用した即時防御の重要性を浮き彫りにしています。特に「自動更新」が強制されるケースでは、管理者が設定を見直すタイミングが重要となるため、監視体制の強化が求められます。
Cloudflare は、WordPress に影響を与える 2 つの深刻な脆弱性に対応するため、新しい Web アプリケーションファイアウォール(WAF)保護機能を展開しました。この対策は、WordPress の REST API で発見された認証不要の遠隔コード実行(RCE)脆弱性と、関連する SQL インジェクション脆弱性を対象としています。
WordPress セキュリティチームは、一般公開前にこれらの脆弱性情報を Cloudflare に開示し、顧客向けの保護策を準備してもらうよう依頼しました。Cloudflare は 2026 年 7 月 17 日 17:03(UTC)に新しいルールを展開し、無料プランおよび有料プランを問わず、Cloudflare WAF を経由してトラフィックが処理されているすべての顧客を保護しています。
WAF の保護機能はパッチ適用までの間、リスクを低減するものですが、パッチ適用の代わりにはなりません。WordPress はバージョン 7.0.2 で修正プログラムを公開しており、影響を受ける以前のバージョンについても 6.9.5、6.8.6、および 7.1 Beta 2 にバックポートされています。6.8 より前のバージョンは影響を受けません。
WordPress は今回の問題を最高 severity(重大度)かつ最優先の課題として扱い、影響を受けるサイトに対して自動更新を強制しています。そのため、多くのサイトでは自動的に更新が完了する見込みです。ただし、念のためご自身の環境が修正済みリリースまたは該当ブランチ用のバックポート版になっているか確認し、公式セキュリティリリース発表で示されたガイダンスに従うことを強く推奨します。
必ず知っておくべきポイント
今回の脆弱性は、リクエストパスの異なる部分に影響を及ぼしています:
CVE-2026-60137:SQL インジェクション
WordPress 6.8 以降のバージョンには、悪意のある入力を組み合わせてデータベースクエリを改ざんできる脆弱性が存在します。リスクレベルは「高」です。
CVE-2026-63030:認証不要なリモートコード実行
WordPress 6.9 以降では、永続的なオブジェクトキャッシュが有効になっていない状態で REST API のバッチエンドポイントを通じて、認証不要の攻撃者がコードを実行できる脆弱性が確認されています。これは前述の SQL インジェクションと関連しています。この脆弱性を悪用するにはログインやユーザー操作は不要です。リスクレベルは「致命的」です。
SQL インジェクションの脆弱性は 6.8 以降に存在しますが、RCE(リモートコード実行)が影響するのは 6.9 からです。そのため、バージョン 6.8.6 は RCE が発生しない 6.8 シリーズ向けの SQLi 対策のみを適用したものです。一方、6.9.5、7.0.2、および 7.1 Beta 2 では両方の脆弱性に対する修正が提供されています。
Cloudflare では、これらの脆弱性に関連するリクエストを検知するためのルールを 2 つ作成しました。
WordPress サイトを運用している Cloudflare の Pro、Business、Enterprise プランのお客様は、「Cloudflare Managed Rules」が有効になっているか必ず確認してください。設定方法は WAF Managed Rules のドキュメントをご覧ください。Free プランをご利用のお客様も、自動的に「Free Ruleset」によって保護されます。
新しいルールは、デフォルトの Managed Ruleset アクションである「ブロック(Block)」設定で展開されます。WordPress サイトを運用しているお客様は、すべてのルールを「ログ記録(Log)」へ変更するルールセットレベルのオーバーライドを含め、既存の設定を見直す必要があります。また、WordPress のアップデートが完了するまでの間は、新しいルールが推奨されるアクションで動作していることを確認してください。さらに、Cloudflare の顧客は、これらのルールに一致するリクエストがないか「セキュリティイベント」を監視することも強くお勧めします。
パッチ適用中の多層防御
SQL インジェクション対策ルールは、WordPress に到達する前に悪意のあるパラメータ値を検出します。認証不要の RCE(リモートコード実行)対策ルールは、RCP 実行パスへのアクセスを試みるリクエストを対象とします。この 2 つのルールは異なる地点で攻撃を検知するため、多重防御を実現しています。
これらのルールは、組織が影響を受けるシステムの更新を行う間のリスクを低減しますが、根本的な脆弱なコード自体を修正するものではありません。脆弱性に対処するための最も効果的な手段は、引き続き WordPress のアップデートです。
即座にアップデートできない場合は、Cloudflare 側の両方のルールが推奨アクションで有効になっていることを確認し、影響を受ける REST API エンドポイントへの不審なリクエストがないかログを確認してください。
今後の展望
Cloudflare は一致するトラフィックを監視し、新たな攻撃バリエーションに対してルールのテストを行い、必要に応じて検知機能を更新していきます。また、脆弱性の詳細が公開される前にユーザー保護に協力してくれた WordPress セキュリティチームをはじめ、他のインフラプロバイダーとの連携に感謝いたします。
原文を表示
Cloudflare has deployed new Web Application Firewall (WAF) protections for two critical vulnerabilities affecting WordPress. The protections address an Unauthenticated Remote Code Execution (RCE) vulnerability in WordPress's REST API and a related SQL Injection vulnerability.
The WordPress security team disclosed the vulnerabilities to Cloudflare before public release so that we could prepare protections for customers. Cloudflare has deployed the new rules to protect all customers, including those on free and paid plans, as long as their application traffic is proxied through the Cloudflare WAF. The rules were deployed at 17:03 UTC on July 17 2026.
WAF protections reduce exposure while customers update, but they are not a substitute for patching. WordPress has released fixes in version 7.0.2, with backports to affected earlier branches: 6.9.5, 6.8.6, and 7.1 Beta 2. Versions earlier than 6.8 are not affected. WordPress is treating this as its highest-severity, highest-priority class of issue and is forcing automatic updates to affected sites, so most sites will be updated automatically. We still recommend confirming that you are on a patched release or the backports for your branch and follow the guidance in the official WordPress security release announcement.
What you need to know
The vulnerabilities affect different parts of the request path:
CVE-2026-60137: SQL injection. A vulnerability in WordPress version 6.8 and later allows crafted input to alter a database query. Rating High.
CVE-2026-63030: Unauthenticated remote code execution. A vulnerability in WordPress version 6.9 and later allows an unauthenticated attacker to execute code through the batch endpoint of the REST API when a persistent object cache is not in use. This vulnerability is related to the SQL injection described above. No login or user interaction is required to exploit this vulnerability. Rating Critical.
The SQL injection vulnerability is present from version 6.8 onwards, while the RCE only affects versions from 6.9. So 6.8.6 addresses the SQLi only since the RCE isn't present on 6.8, while 6.9.5, 7.0.2, and 7.1 Beta 2 get fixes for both.
Cloudflare created two rules to detect requests associated with these vulnerabilities:
Cloudflare customers running WordPress sites on Pro, Business, or Enterprise plans should ensure that Cloudflare Managed Rules are enabled. Customers can follow the steps in our WAF Managed Rules documentation. Customers on free plans are automatically protected through the Free Ruleset.
The new rules are deployed with the default Managed Ruleset action of Block. Customers running WordPress sites should review any ruleset-level overrides, including those that change all rules from Block to Log, and ensure the new rules use the recommended action while they update WordPress. Cloudflare customers should also monitor Security Events for requests matching either rule.
Defense in depth while you patch
The SQL injection rule detects crafted parameter values before they reach WordPress. The unauthenticated RCE rule targets requests attempting to reach the remote code execution path. Together, they detect the attack at two different points.
These rules reduce risk while organizations update affected systems; they do not fix the underlying vulnerable code. Updating WordPress remains the most effective way to address the vulnerabilities.
If an immediate update is not possible, verify that both Cloudflare rules are active with the recommended action and review logs for suspicious requests to the affected REST API endpoint.
Looking forward
Cloudflare will monitor matching traffic and test the rules against new attack variations, updating detections when needed.
We thank the WordPress security team for coordinating with Cloudflare and other infrastructure providers to help protect users before details of the vulnerabilities became public.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み