UpdraftPlusの重大な認証欠陥//公開日 2026-06-10//CVE-2026-10795

WP-FIREWALL セキュリティチーム

UpdraftPlus CVE-2026-10795 Vulnerability

プラグイン名 UpdraftPlus
脆弱性の種類 認証の欠陥
CVE番号 CVE-2026-10795
緊急 高い
CVE公開日 2026-06-10
ソースURL CVE-2026-10795

緊急: UpdraftPlus (≤ 1.26.4) UpdraftCentral ‘udrpc’ を介した認証の破損 — すべてのWordPressオーナーが今すぐ行うべきこと

著者: WP‑Firewallセキュリティチーム
日付: 2026-06-10
タグ: wordpress, セキュリティ, updraftplus, wafu, 脆弱性, インシデント対応

まとめ: 高度な深刻度の認証破損脆弱性 (CVE-2026-10795, CVSS 8.1) は、UpdraftPlus関連のUpdraftCentral機能 (udrpc) に影響を与え、認証されていない攻撃者が認証をバイパスし、脆弱なバージョン (≤ 1.26.4) を使用しているサイトで特権的なアクションを実行できるようにします。このアドバイザリーでは、リスク、問題が通常どのように悪用されるか、攻撃を検出する方法、短期的な緩和策 (WP-Firewallを介した仮想パッチを含む)、および推奨される長期的な修正手順について説明します。.

目次

  • エグゼクティブサマリー
  • この脆弱性が危険な理由
  • 技術的概要(非悪用)
  • 一般的な攻撃ベクターと実際のシナリオ
  • サイトが標的にされたか、侵害されたかを迅速に検出する方法
  • 即時の緩和策 (数分以内に適用)
  • 現在展開できる仮想パッチとWAFルール
  • 完全な修正: 安全な更新と更新後のチェック
  • インシデント対応チェックリスト (侵害された場合)
  • 将来のリスクを減らすための強化推奨事項
  • よくある質問
  • WP-Firewall無料プラン — 今すぐ保護を追加する実用的な方法
  • 最終ノートとリソース

エグゼクティブサマリー

UpdraftPlusエコシステム内の認証破損脆弱性 (CVE-2026-10795として特定) は、認証されていないリクエストがUpdraftCentral/udrpcインターフェースで期待される認証チェックをバイパスすることを可能にします。Updraftの機能 (バックアップ、復元、移行、リモートコントロールエンドポイント) の特権的な性質のため、成功した悪用は、通常は管理者権限を必要とするアクションを攻撃者が実行できるようにし、バックアップ/復元ルーチンの実行、統合フローを介した管理者アカウントの作成、またはサイトデータの抽出を含むがこれに限定されません。.

サイトがUpdraftPlusまたは関連するUpdraftCentralコンポーネントを実行しており、プラグインのバージョンが≤ 1.26.4の場合、リスクを即時のものとして扱い、今すぐ更新または仮想パッチを適用してください。.

この脆弱性が危険な理由

  • 認証されていない: 脆弱性は、攻撃者がログインしている必要はありません。リモート攻撃者は、通常のHTTP(S)リクエストを介して脆弱なエンドポイントに到達できます。.
  • 権限昇格 / バイパス: この問題は認証チェックをバイパスし、通常は管理者に制限される攻撃者制御のアクションを可能にします。.
  • 自動化に優しい: 脆弱性は、シンプルなHTTPツールを使用してスケールで調査および悪用できるため、大規模な悪用キャンペーンの魅力的なターゲットとなります。.
  • バックアップ/復元ベクター: バックアップおよびリモートコントロールに関連するコンポーネントは、機密データを露出させたり、攻撃者にファイルを書き込む、オプションを注入する、またはアクセスを持続させるプロセスを実行するための経路を提供する可能性があります。.

脆弱性はウェブリクエストを介して露出し、非常に人気のあるバックアップ/移行プラグインに影響を与えるため、即時の緩和のために高優先度として分類されています。.

技術的概要(高レベル、非悪用的)

  • 影響を受けるコンポーネント: UpdraftPlusプラグインおよび特にUpdraftCentral関連のRPC(内部エンドポイントで「udrpc」と呼ばれる)。.
  • 影響を受けるバージョン: UpdraftPlus(および/またはUpdraftCentral統合者)バージョン1.26.4までおよびこれを含む。.
  • パッチ適用済みバージョン: 1.26.5(このバージョンまたはそれ以降にアップグレードして恒久的に修正)。.
  • コアの問題: RPCエンドポイントにおける認証の破損/リクエストの真正性の不適切な検証。エンドポイントは、検証された資格情報またはノンスを必要とするはずのリクエストを受け入れたり処理したりしますが、適切に検証されていません。.
  • 攻撃面: udRPC機能を露出させる公開アクセス可能なURL(コマンド/パラメータを受け入れるHTTP POST/GETハンドラー)。.

注意:私たちは意図的にステップバイステップの悪用コードを公開していません。私たちの目的は、防御者が攻撃の自動化を加速させることなく検出し、緩和できるようにすることです。.

一般的な攻撃ベクターと実世界のシナリオ

攻撃者は一般的に次のようなパターンに従います:

  1. 発見
    • UpdraftPlusがインストールされているサイトをスキャンする(プラグイン列挙や既知のプラグインファイルの場所で一般的)。.
    • 「udrpc」、「updraftcentral」などの文字列やリモートRPCエンドポイントに一致するパターンを含むURLを探る。.
  2. 認証バイパス
    • 認証をスキップしたり、認証トークン/ノンスチェックを誤って処理するコードパスをトリガーするように設計されたリクエストをudRPCエンドポイントに送信する。.
  3. 特権アクション
    • バイパスが達成されると、攻撃者は次のようなアクションを試みることができます:
      • バックアップをトリガーし、結果として得られたアーカイブを抽出する(アクセス可能な場合)。.
      • コンテンツを上書きするリストアをトリガーするか、攻撃者のファイルをアップロードする。.
      • バックドア管理者や持続的オプションを追加するために、構成エントリを作成または変更する。.
      • 統合フックを介して下流の操作を実行します。.
  4. 永続性と横移動
    • バックドアをインストールし、管理者ユーザーを作成するか、アクセスを保持するためにスケジュールされたタスクを追加します。.
    • 他の統合者や接続されたサービスに横移動します。.

この脆弱性は不正な行動を可能にするため、偵察プローブでさえ悪意のあるものとして扱い、フォローアップのためにログに記録する必要があります。.

サイトが標的にされたか、侵害されたかを迅速に検出する方法

標的または悪用の兆候:

  • アクセスログに「udrpc」、「updraftcentral」、「updraft」、または予期しないRPCのようなパラメータを含むエンドポイントへの異常なPOSTリクエスト。.
  • 異常なユーザーエージェントや大量スキャンIPからのリクエスト、しばしばバーストで。.
  • 突然作成された管理者ユーザーやユーザーロールの変更。.
  • 疑わしい時間帯に生成された予期しないバックアップ、またはあなたがトリガーしていないwp-content/uploads/updraft(または他のバックアップ場所)に現れるバックアップファイル。.
  • あなたが認識しないWordPressによって変更または作成されたファイル、特にプラグインまたはアップロードディレクトリの下で。.
  • あなたのサイトから発信された未知のホストへの異常な外向きネットワーク接続(利用可能な場合はネットワークログを確認)。.

すぐに実行するログチェック(例):

  • 「udrpc」、「updraftcentral」、または類似の文字列を含むウェブサーバーログを検索。.
  • UpdraftまたはUpdraftCentralに関連するパラメータを含むwp-admin/admin‑ajax.phpへのPOSTリクエストを検索。.
  • 予期しない管理者アカウントのためにWordPressユーザーリストをレビュー:
    • wp_usersテーブル:予期しないユーザー行
    • wp_usermeta:機能と役割の改ざん。.
  • プラグインファイルとアップロードディレクトリの変更時間を確認。.

疑わしい活動の証拠を見つけた場合は、以下のインシデントレスポンスチェックリストに従ってください。.

即時の緩和策 (数分以内に適用)

現在プラグインを更新できない場合は、すぐに以下のことを行ってください:

  1. udRPC エンドポイントへの公共アクセスをブロックします
    • 信頼できる IP からのリクエスト以外は、URL または POST 本文に「udrpc」または「updraftcentral」を含むリクエストをブロックするために、WAF、サーバーファイアウォール、またはウェブサーバーの設定を使用してください。.
  2. プラグイン管理ページへのアクセスを制限する
    • UpdraftPlus 管理ページとプラグインディレクトリへのアクセスを制限します(管理者用の IP ホワイトリストを介して)。.
  3. プラグインを一時的に無効化する
    • ブロックが不可能な場合や侵害の疑いがある場合は、安全に更新できるまで UpdraftPlus を無効にしてください。.
  4. 管理者パスワードを変更し、シークレットをローテーションします
    • WordPress 管理者パスワード、データベース認証情報(侵害が疑われる場合)、および統合サービスで使用される API キーをローテーションします。.
  5. 拡張ログ記録とアラートを有効にします
    • 疑わしいエンドポイントの詳細なログ記録をオンにし、新しい管理ユーザーの作成や変更にアラートを出します。.

これらの対策は、完全な修復を準備している間の露出を減らすのに役立ちます。.

現在展開できる仮想パッチとWAFルール

ウェブアプリケーションファイアウォール (WAF) — WP‑Firewall を含む — がある場合、HTTP レイヤーでの攻撃試行をブロックする仮想パッチを展開できます。仮想パッチは、更新とインシデント対応を計画している間の時間を稼ぎます。.

推奨される WAF アプローチ

  • URL パターンでブロック
    • REQUEST_URI または REQUEST_BODY が大文字小文字を区別しないパターンに一致するリクエストを拒否します。
      • udRPC
      • updraftcentral
      • updraft
    • ModSecurity スタイルのルールの例(テンプレート): 
      SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "@rx (?i)(udrpc|updraftcentral|updraft)"
    • 注意: 正当な管理ワークフローを壊さない保守的なルールを使用してください。必要に応じて既知の管理 IP をホワイトリストに追加します。.
  • 有効な WordPress ノンスとクッキーを要求します
    • 有効なログイン済みクッキーまたは検証済みのノンスパラメータが伴わない限り、RPCエンドポイントへのリクエストをブロックします。リクエストに認証クッキーがなく、Updraftに関連するRPCアクション名を呼び出そうとする場合は、拒否します。.
  • 疑わしいコンテンツタイプとエンコーディングをブロックします。
    • 奇妙なコンテンツエンコーディングを持つリクエストや、シリアライズされたデータを渡すことを目的としたbase64ブロブを含むPOSTを拒否します。.
  • レート制限と評判管理
    • エンドポイントへのリクエストをレート制限します。スキャンパターンを持つIPをブロックします。.
  • Geo/IPホワイトリスト
    • 管理者が知られている小さなIP範囲から操作している場合、プラグインの敏感なエンドポイントへのアクセスをそれらのIPに制限します。.
  • 指標を監視します。
    • ブロックされたリクエストに対してアラートを作成し、潜在的なプロービング活動を調査できるようにします。.

WP-Firewallのお客様:この問題に対する一般的なエクスプロイトパターンをブロックする緩和ルールをリリースし、ネットワーク全体での試行を積極的に監視しています。複数のサイトに対して仮想パッチを有効にする必要がある場合、当社のプラットフォームは中央でルールを適用できます。.

ModSecurityルールとnginxスニペットの例(テンプレート)

これらを出発点として使用し、環境に合わせて調整し、本番前にステージングでテストします。.

ModSecurity(推奨、デプロイ前にテスト):

# 疑わしいudRPCアクセスをブロックします(大文字と小文字を区別しない)"

nginx(URLによる単純なブロック):

location ~* /(?:(?:udrpc)|(?:updraftcentral)|(?:updraft)) {

重要: これらは攻撃的であり、UpdraftCentralを正当に使用している場合、正当な操作をブロックする可能性があります。安全な管理アクセスのためにIPホワイトリストを使用するか、特定の管理者IPを許可してください。.

完全な修正:更新、検証、強化

  1. プラグインの更新
    • UpdraftPlusおよびすべてのUpdraftCentral統合をバージョン1.26.5以降に更新します。これが決定的な修正です。.
    • 可能な限り、本番前にステージングサイトで更新をテストしてください。.
  2. ファイルの整合性を確認する
    • プラグインファイルを既知の良好なコピーと比較する(公式プラグインリポジトリからプラグインパッケージをダウンロードする)。.
    • 疑わしい内容の最近変更されたファイルを探す(ウェブシェル、eval(base64_decode(…))、不明なPHPファイル)。.
  3. 認証情報を変更し、キーをローテーションしてください。
    • 管理者パスワードを変更し、バックアップや外部サービスで使用されるAPIキーをリセットし、侵害の疑いがある場合はデータベースの資格情報をローテーションする。.
  4. 無許可のアカウントを削除します
    • wp_usersおよびwp_usermetaをチェックして、予期しないアカウントや役割の変更を確認し、無許可のユーザーを削除または降格する。.
  5. バックアップを検査し、安全に復元する
    • バックアップが疑わしいエクスプロイトウィンドウ中にトリガーまたは作成された場合、それらを証拠として扱う。最初にクリーンアップせずに感染したバックアップを復元しない。.
  6. マルウェアの再スキャンを行う
    • 信頼できるツールを使用して、サイト全体のマルウェアスキャン(ファイルとデータベース)を実行する。可能であれば、別のセキュリティ専門家にサイトを監査してもらう。.
  7. サービスを再有効化する
    • クリーンな状態を確認した後、一時的に無効にしたプラグインを再度有効にし、一時的なファイアウォールブロックを削除し、必要最小限のポリシーに制限する。.

侵害を発見した場合 — インシデント対応チェックリスト

フォレンジックレビューが侵害を示す場合、構造化されたインシデントレスポンスに従う:

  1. 隔離する
    • サイトをメンテナンスモードにするか、ファイアウォールでトラフィックをブロックする。さらなる攻撃者のアクセスを防ぐ。.
  2. 証拠保全
    • ログ(ウェブサーバー、WAF、データベースログ)を保存する。調査のために読み取り専用コピーを作成する。.
  3. 範囲を特定する
    • どのアカウント、ファイル、システムが変更されたかを特定する。データベースとアップロードフォルダーをチェックする。.
  4. 根絶
    • ウェブシェル、無許可のプラグイン/テーマ、およびバックドアを削除する。.
    • 信頼できるソースから変更されたコア/プラグインファイルを置き換える。.
  5. 回復する
    • クリーンなバックアップから復元するか、クリーンなコードベースから再構築する。サイトがクリーンになったら資格情報をローテーションする。.
  6. 監視して学ぶ
    • サイトを強化された監視状態に保つ。より厳格なポリシー、二要素認証、および継続的なスキャンを実施する。.
  7. 利害関係者への通知
    • ポリシーまたは規制に従って、サイトの所有者、顧客、または影響を受けた個人に通知する。.

侵害が単一のサイトを超える場合(例:ホスティング環境内または複数の管理サイト間)、ホストまたはセキュリティプロバイダーと連携して封じ込めと修復を行う。.

将来のリスクを減らすための強化推奨事項

  • WordPressコア、テーマ、およびプラグインを更新し、制御されたステージング->プロダクションフローで更新を適用する。.
  • プラグインのフットプリントを最小限に抑える:未使用または冗長なプラグインを削除します。.
  • ロールの最小化を使用する:信頼できるユーザーにのみ管理者権限を付与します。.
  • 強力なパスワードを使用し、すべての管理者ユーザーに対して二要素認証を有効にします。.
  • 可能な場合は、IPホワイトリストを介してwp-adminおよび重要なプラグインエンドポイントへのアクセスを制限します。.
  • WAFを使用し、高リスクの脆弱性に対して仮想パッチを有効にします。.
  • ログを中央で監視し、予期しない管理者のアクション(新しい管理者アカウントの作成、プラグインのインストール/削除)に対してアラートを設定します。.
  • ステージング環境で復元を実行することにより、バックアップを定期的にテストします。.
  • データベースユーザーとファイル権限に対して最小権限の原則を使用します。.

よくある質問

質問: 1.26.5に更新した場合、完全に安全ですか?
答え: パッチが適用されたバージョンに更新することで、特定の脆弱性に対処し、決定的な修正となります。更新後は、以前の悪用からの持続性が残っていないことを確認するために、上記の検証手順に従ってください。.

質問: 私のホストは自動更新を提供しています。それで十分ですか?
答え: 自動更新はリスクを減少させますが、更新が成功したことを確認し、更新前に発生した侵害の兆候がないかサイトをスキャンする必要があります。.

質問: 更新できるまでUpdraftPlusを無効にすべきですか?
答え: パッチまたは仮想パッチをすぐに適用できない場合は、一時的にプラグインを無効にしてください。無効化することで、脆弱なコードが実行されるのを防ぎます。.

質問: 攻撃者はバックアップを流出させることができますか?
答え: はい — 攻撃者がバックアップをトリガーし、それを取得できる場合、機密ファイルやデータベースダンプが流出する可能性があります。これは、この脆弱性を高リスクとして扱う核心的な理由です。.

WP-Firewall 無料保護プラン — 今すぐサイトを保護します

すべてのWordPressサイトに対する迅速で重要な保護

プラグインを更新し、フォレンジックチェックを実施している間にリスクを迅速に減少させたい場合は、WP-Firewallで追加の保護層を追加することを検討してください。私たちの基本(無料)プランは、WordPressに特化した重要な管理ファイアウォール保護を提供します:

  • OWASP Top 10 緩和策を備えたマネージド ファイアウォール
  • 既知のエクスプロイトパターンをブロックできるWebアプリケーションファイアウォール(WAF)ルール
  • 無制限の帯域幅とマルウェアスキャンにより、疑わしいファイルを特定するのに役立ちます
  • 中央集権的なルール展開により、サイトコードを変更せずに仮想パッチを適用できます

今すぐ基本(無料)プランにサインアップして、UpdraftPlusを更新している間に即座に仮想保護を受けましょう: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(自動削除、カスタムIPホワイトリスト、または大規模な継続的仮想パッチが必要な場合は、自動マルウェア削除、月次セキュリティレポート、及び自動脆弱性仮想パッチを含む有料プランを評価してください。)

最終的な注意事項と次のステップ

  • 直ちに行動を:できるだけ早くUpdraftPlusをバージョン1.26.5以上に更新してください。.
  • すぐに更新できない場合は、仮想パッチを実施する(udRPCのようなアクセスをブロック)、プラグインページを管理者IPに制限する、またはプラグインを一時的に無効にしてください。.
  • プロービング活動や「udrpc」リクエストのような指標のログを監視してください。.
  • 侵害の疑いがある場合は、インシデント対応チェックリストに従い、侵害ウィンドウ中に作成されたバックアップを潜在的に汚染されたものとして扱ってください。.

WP‑Firewallでは、この問題に関連する攻撃パターンを監視しており、即座に適用できる緩和ルールをリリースしました。複数のサイトを管理している場合、中央集権的な仮想パッチと監視により、資産が露出している時間を大幅に短縮できます。.

仮想パッチを有効にする、推奨されるWAFルールを展開する、または侵害評価を実施するための支援が必要な場合は、セキュリティチームに連絡するか、ダッシュボードのWP‑Firewallサポートチャンネルにお問い合わせください。.

安全を保ち、パッチ適用を優先してください — これは緊急です。.

— WP‑Firewallセキュリティチーム

参考文献とリソース

  • CVE: CVE‑2026‑10795
  • UpdraftPlusパッチリリース:1.26.5(直ちに適用)
  • 一般的なWordPressインシデント対応ガイダンス(このアドバイザリーの手順に従ってください)
wordpress security update banner

WP Security Weeklyを無料で受け取る 👋
今すぐ登録!!

毎週、WordPress セキュリティ アップデートをメールで受け取るには、サインアップしてください。

スパムメールは送りません! プライバシーポリシー 詳細については。

無料のWordPressセキュリティコンサルテーションをご予約いただくには、お問い合わせください。

お問い合わせ

WPファイアウォール
香港、九龍、観塘、洪徳路71号、ザ・レイズ6階

特徴 価格 ブログ ログイン
プライバシーポリシー 利用規約 ドキュメント アフィリエイト

© 2026 WP-Firewall™