2026年6月20日の重要脆弱性: WordPressプラグイン、Cap-goなど2件
/ 4 min read
Table of Contents
概要
本日、日本のエンジニア・開発者向けに、緊急性の高い重要脆弱性情報をお届けします。今回はCVSSスコア9.0以上の「Critical」判定を受けた脆弱性が2件公開されました。WordPressプラグインにおける認証なしの権限昇格、およびCap-goにおける2FAの不適切な設定によるアカウント乗っ取りの脆弱性が含まれており、即座の対応が求められます。
CVE-2026-11551: Branda – White Label & Branding, Free Login Page Customizerにおける認証なしの権限昇格
- CVSS: 9.8 (Critical)
- 影響: wpmudev / Branda – White Label & Branding, Free Login Page Customizer — バージョン 0 から 3.4.29 まで (含む)
概要
WordPressプラグイン「Branda – White Label & Branding, Free Login Page Customizer」のバージョン3.4.29以前に、認証なしの権限昇格の脆弱性が存在します。この脆弱性は、パスワード更新時にユーザーの身元が適切に検証されないことに起因します。認証されていない攻撃者は、管理者を含む任意のユーザーのパスワードを変更し、そのアカウントにアクセスを奪取する可能性があります。
推奨対応
影響を受けるバージョンのBrandaプラグインを使用している場合は、速やかに最新バージョンへのアップデートを適用してください。公式のパッチ情報やベンダーアドバイザリを確認し、指示に従って対応することが極めて重要です。
参考
- Wordfence Intelligence - Branda – White Label & Branding, Free Login Page Customizer <= 3.4.29 - Unauthenticated Privilege Escalation via Account Takeover
- WordPress Trac - branda-white-labeling/tags/3.4.29/inc/modules/login-screen/signup-password.php
- WordPress Trac - Changeset 3568291
CVE-2026-56081: Cap-goにおける未検証メールアドレスに対する2FA誤設定によるアカウントロックアウト
- CVSS: 9.3 (Critical)
- 影響: Cap-go / capgo — バージョン 0 から 12.128.2 まで (含まない)
概要
Cap-goのバージョン12.128.2より前のバージョンに、認証ロジックの欠陥が存在します。この欠陥により、攻撃者は被害者のメールアドレスに紐付けられたアカウントを、そのメールアドレスが検証される前に登録し、制御することが可能です。攻撃者がこの事前登録アカウントで二要素認証(2FA)を有効にすると、正規ユーザーは自分のメールアドレスに紐付けられたアカウントへのアクセスを拒否され、攻撃者がアカウントを乗っ取ります。
推奨対応
Cap-go製品を使用しているユーザーは、バージョン12.128.2以降にアップデートすることを強く推奨します。ベンダーが提供するアドバイザリを確認し、セキュリティパッチの適用や、一時的な回避策が提示されている場合はそれに従ってください。
参考
- GitHub - Cap-go security advisory GHSA-j4cx-5pw6-5v5j
- VulnCheck - Cap-go - Account Lockout via 2FA Misconfiguration on Unverified Email
出典
- db.gcve.eu
- 各CVEの参考リンクに記載されたベンダー・サードパーティアドバイザリ