プラグイン名	WordPress ヨットレンタルテーマ
脆弱性の種類	ローカルファイルインクルージョン
CVE番号	CVE-2026-28051
緊急	高い
CVE公開日	2026-03-03
ソースURL	CVE-2026-28051

ヨットレンタルテーマにおけるローカルファイルインクルージョン (≤ 2.6) — WordPressサイトオーナーが知っておくべきこと

著者： WP-Firewall セキュリティチーム

日付： 2026-03-03

注: このアドバイザリーは、WP-FirewallのWordPressセキュリティ実務者の視点から書かれています。記載された問題は「ヨットレンタル」WordPressテーマ（バージョン ≤ 2.6）に影響を与え、CVE-2026-28051として追跡されています。このテーマ（またはそれに基づく子テーマ）を使用している場合は、これを高優先度のセキュリティイベントとして扱ってください。.

TL;DR — 緊急性と影響

ヨットレンタルWordPressテーマのバージョン2.6までに高重大度のローカルファイルインクルージョン（LFI）脆弱性が存在します（CVE-2026-28051）。この脆弱性は認証されていない攻撃者によって悪用され、ウェブサーバーからローカルファイルのインクルードおよび開示を許可する可能性があります（例えば、, wp-config.php）。CVSS（報告された例）は8.1です。これは危険なクラスの脆弱性です：資格情報ファイルの開示はデータベースの乗っ取り、資格情報の収集、そして一部の構成ではラッパーの悪用や他の問題とのチェーンを介してリモートコード実行（RCE）を可能にすることがあります。.

ヨットレンタルテーマ（または信頼できないテーマを使用しているサイト）を運営している場合は、公式のセキュアアップデートが利用可能になるまで、リスクを最小限に抑えるためにこの投稿の緩和手順に従ってください。.

ローカルファイルインクルージョン（LFI）とは何ですか？

LFIは、ウェブアプリケーションが攻撃者によって制御可能なパスのファイルを含める（例えば、PHPのinclude/requireを介して）ときに発生します。アプリケーションが含まれるファイルを制御するユーザー提供の入力を適切に検証またはサニタイズしない場合、攻撃者はサーバーにファイル（設定ファイルなど）を読み取らせて出力させたり、場合によっては他のコンテンツをインタープリタにパイプさせてコード実行を可能にすることがあります。.

一般的なLFIの影響:

• ローカルファイルの開示（wp-config.php, 、ログ、, .env)
• 資格情報の露出（DB、APIキー）
• さらなる悪用のためのサーバーの偵察
• ファイルアップロードやラッパーの悪用と組み合わせると潜在的なRCE, php://input, expect://)
• 資格情報が取得されると完全なサイトの妥協

この特定の脆弱性がどのように機能するか（技術的要約）

テーマコードによって具体的な内容は異なりますが、テーマにおけるLFIは一般的に次のようなコードパターンから発生します:

// 不安全なパターン;

テーマがユーザー制御のパラメータをファイルパスに連結し、直接含める場合、攻撃者はトラバーサルペイロードを提供することができます（例えば、, page=../../../../wp-config) またはラッパーペイロード (page=php://filter/...) ローカルファイルが読み取られたり処理されたりする原因となります。.

ヨットレンタルテーマ (≤ 2.6) では、脆弱なコードパスが適切なサニタイズやホワイトリストなしでインクルード/リクワイア (または同等) に使用される認証されていないパラメータを受け入れるようです。これにより、攻撃者は任意のローカルファイルをインクルードでき、情報漏洩につながります。.

現実的な攻撃者シナリオ

1. wp-config.phpを読み取る
   – 攻撃者が脆弱なパラメータを指すURLをリクエストします ../../wp-config.php.
   – インクルードされて出力されると、データベースの認証情報が表示されます。.
2. ログまたはバックアップファイルからの認証情報の抽出
   – 古いバックアップやログには秘密が含まれている可能性があり、攻撃者は可能性のあるファイル名を列挙できます。.
3. PHPラッパーの使用
   – php://filter PHPを期待している場合でも、安全な輸送と読み取りのためにファイルをbase64エンコードするために使用できます。.
   – 例： ?page=php://filter/convert.base64-encode/resource=../../wp-config.php
4. RCEへのチェーン
   – サイトが予測可能な場所にファイルのアップロードを許可し、攻撃者がアップロードされたファイルをインクルードできる場合、任意のPHP実行が達成されます。.

妥協の指標 (IoCs) と確認すべきログ

アクセスおよびウェブログを確認し、次のようなパラメータを含む疑わしいリクエストを探してください:

• ../ またはエンコードされたトラバーサル: %2e%2e%2f, /
• php:// ラッパー: php://filter, php://inputなど
• ファイル= または ページ= または長いエンコードペイロードを持つ他のパラメータ
• 出力ログにおけるBase64のようなレスポンスが php://filter 使用された場合
• テーマテンプレートエンドポイントへの予期しないリクエストや次のようなクエリ文字列：
  • /index.php?page=../../../../wp-config.php
  • /wp-content/themes/yacht-rental/index.php?file=php://filter/convert.base64-encode/resource=../../../../wp-config.php
  • たくさんの（ヌルバイト）や他の奇妙なエンコーディングを含むリクエスト

テーマのパスと任意の 含む‑styleパラメータ名を検索サーバーログで確認します。成功した読み取りが見られた場合 wp-config.php または他の機密ファイルがあれば、サイトは侵害されたと見なし、以下のインシデント対応手順に従ってください。.

直ちに実施すべき緩和策（サイト所有者および管理者向け）

1. サイトをメンテナンスモードにするか、一時的にオフラインにする（可能であれば）。.
2. テーマが修正されるまで、デフォルトの脆弱性のないテーマ（例：クリーンな標準テーマ）に切り替えます。.
3. 脆弱なテーマが不要な場合は、削除または無効にします。アクティブでサイトをレンダリングするために使用されている場合は、テーマの切り替えが必要です。.
4. エッジでのエクスプロイト試行をブロック：
   • WAF（Webアプリケーションファイアウォール）がある場合は、それを有効にし、トラバーサルおよびラッパーペイロードをブロックするルールを適用します（以下の例）。.
   • サーバーレベルで、次のようなリクエストをブロックします ../, php://, 、または他のLFIシグネチャ。.
5. ファイル権限を強化します：
   • 確保する wp-config.php は世界中で読み取り可能ではありません（600または640はホストによります）。.
   • ウェブサーバーユーザーの権限を最小限に制限します。.
6. 認証情報が漏洩した可能性がある場合は、秘密をローテーションします：
   • DBユーザーパスワードをリセットし、更新します wp-config.php （復元またはパッチ適用後）。.
   • ファイル内で観察されたAPIキーをローテーションします。.
7. データの流出やさらなる変更の兆候についてログとバックアップを確認します。.
8. 侵害された場合は、確認済みのクリーンバックアップから復元し、その後緩和策を適用します。.

パッチ適用と仮想パッチ適用

• 理想的には、テーマの著者が提供する安全なバージョンにテーマを更新します—これが恒久的な修正です。.
• 公式のパッチがすぐに利用できない場合は、WAFまたはプラグインベースのファイアウォールを介して仮想パッチを適用し、コードがパッチされるまでエクスプロイトパターンをブロックします。WP‑Firewallは、サイト全体でLFIパターンを確実にブロックするための管理ルールと仮想パッチ適用をサポートしています。.

サンプル検出とWAFルールのアイデア（シグネチャ）

以下は、ファイアウォールルールセットに適用できる例のパターンです。これらは、最も一般的なLFIエクスプロイトペイロードを検出しブロックすることを目的としています。これらをガイダンスとして使用し、特定のサイトとログを考慮して調整してください。.

1. パラメータ内のトラバーサルシーケンスを検出するためのシンプルな正規表現：
   – 検出： (\.\./|\\\|\\/)
   – 例（擬似ルール）：クエリパラメータの値が一致する場合はブロック \.\./ または %2e%2e.
2. phpラッパーを検出：
   – 検出： php://
   – 例：クエリに含まれるリクエストをブロック php://filter または php://input.
3. 既知の機密ファイル名を含めようとする試みをブロック：
   – 検出： wp-config, .env, id_rsa, 合格, 認証情報, config.php
   – 例: もし wp-config どのパラメータにも存在する場合はブロックします。.
4. nullバイト攻撃をブロックする（古いPHPバージョン）:
   – 検出： %00 クエリ文字列内で。.
5. 疑わしいbase64リクエストをブロックする:
   – 検出： convert.base64-encode/resource=
   – 例: 含まれる任意のパラメータをブロックします convert.base64-encode/resource=.

例 ModSecurityスタイルのルール（説明のためのみ）:

SecRule ARGS "@rx (\.\./|/|php://|convert\.base64-encode/resource=|)" \"

WP‑Firewallプラグインを使用している場合は、LFIルールグループを有効にし、プロダクションサイトのブロックモードに設定してください。.

推奨される安全なコーディング修正（テーマ開発者向け）

テーマを維持または開発する場合は、ブラックリストではなく厳格なホワイトリストとパス正規化を適用して任意のファイルを含むコードパスを修正してください。ユーザー入力を直接含めないでください。.

悪い例：

include( get_template_directory() . '/templates/' . $_GET['page'] . '.php' );

より良いパターン:

1. ホワイトリストアプローチ — 許可された識別子をファイル名にマッピングします:

$templates = array(

2. realpathとベースディレクトリを使用したパス検証:

$base_dir = realpath( get_template_directory() . '/templates' );

3. 入力を処理するために組み込みのWordPress関数を使用し、 locate_template() そして sanitize_file_name(), sanitize_key(), esc_attr() 知られている安全なファイルのみを含めます。.

サイト所有者向けの実用的な修正チェックリスト

このチェックリストを使用して影響を受けたサイトをトリアージします:

• あなたのサイトがヨットレンタルテーマまたはその派生物を使用しているかどうかを確認してください（アクティブテーマと任意の子テーマを確認）。.
• 脆弱な場合は、すぐに非脆弱なテーマに切り替えてください。.
• テーマが必要な場合は、オフラインにするか、特定の脆弱な機能をオフラインにしてください。.
• LFIパターン（トラバーサル、phpラッパー、疑わしいファイル名）に対するWAFルールのブロックを有効にしてください。.
• 疑わしい変更（変更されたファイル、不正な管理者ユーザー、不明なPHPファイル）についてサイトをスキャンしてください。.
• 疑わしいアクセスパターンと情報漏洩の指標についてログを監査してください。.
• 露出した可能性のあるデータベースの資格情報とAPIキーをローテーションしてください。.
• セキュリティ監視をインストールしてください（ファイル整合性チェック、ログ監視）。.
• ベンダーが安全なバージョンを公開した際にテーマを更新し、プロダクションの前にステージングでテストしてください。.
• データ侵害が疑われる場合は、インシデント対応および通知計画に従ってください。.

侵害の証拠を見つけた場合 — 何をすべきか

1. サイトを隔離してください：可能であればネットワークアクセスを削除してください。.
2. ログを保存してください：法医学的分析のためにログをバックアップしてください。.
3. オフライン分析のためにサイト全体のバックアップ（ファイル + DB）を取得してください。.
4. サイトに敏感なユーザーデータが含まれている場合は、専門のインシデント対応を検討してください。.
5. すべてのバックドアを自信を持って削除できない場合は、既知のクリーンなベースラインから再構築してください。.
6. PIIが露出した場合は、適用される規制に従って利害関係者とユーザーに通知してください。.

将来のLFIリスクを減少させるためのハードニング推奨事項

• PHPファイルのインクルードをホワイトリストに登録されたファイルのみに制限してください。.
• WordPressが提供する厳格な入力サニタイズ関数を使用してください（sanitize_file_name, テキストフィールドをサニタイズする, sanitize_key).
• ファイルの権限を強化します（wp-config.php 最小限の必要なアクセス）。.
• 無効にする allow_url_include そして確認してください allow_url_fopen ホスト上で適切に構成されています。.
• WordPressのコア、テーマ、プラグインを最新の状態に保ちます。.
• データベースユーザーに対して最小特権を強制します：rootレベルのDBユーザーの使用を避けてください。.
• Webアプリケーションファイアウォールを実装し、シグネチャを最新の状態に保ちます。.
• コンテンツセキュリティポリシー（CSP）やその他のHTTPセキュリティヘッダーを使用して攻撃面を減らします。.
• 最新のスキャナーで既知の脆弱性についてサイトを定期的にスキャンします。.

システム管理者向けの検出クエリとコマンド

ウェブログを検索します：

# アクセスログでトラバーサルパターンを探す

テーマファイルで安全でないパターンを検索します：

# GET/REQUEST/POSTを使用したinclude/requireパターンを探します

なぜLFIがWordPressサイトにとって高優先度なのか

WordPressサイトにはしばしば機密データが含まれています — ユーザーアカウント、eコマースデータ、APIキー。テーマとプラグインはWordPressと同じPHPインタープリターおよび特権で実行されるため、1つの脆弱なテーマファイルがサイト全体を危険にさらす可能性があります。LFIは特に危険で、認証を必要とせずに構成ファイルや資格情報への即時アクセスを提供することが多いためです。.

WP-Firewallがあなたを守る方法

予防措置として、WP‑Firewallは層状の保護を提供します：

• LFIペイロード（トラバーサル、ラッパー、ヌルバイト、疑わしいファイル名）を検出してブロックする管理されたWAFルール。.
• 知られているバックドアや悪意のあるファイルを検出するためのマルウェアスキャン。.
• 攻撃のログ記録とアラートにより、迅速に反応し、指標を収集できます。.
• 仮想パッチ機能（ベンダーパッチを待っている間に脆弱なコードパスを保護するためにWAFルールを適用します）。.
• OWASP Top 10リスクの自動緩和（LFIはインジェクションおよび情報漏洩カテゴリに該当します）。.

すでにWP‑Firewallを実行している場合は、ルールが最新であり、LFI保護が本番環境でブロックモードで有効になっていることを確認してください。.

よくある質問

Q: 攻撃者はこのLFIをリモートコード実行に変えることができますか？
A: 一部の環境では、はい。RCEはしばしばチェイニング（例えば、アップロード脆弱性や含めることができる書き込み可能なファイル）やPHPストリームラッパーの悪用を必要とします。RCEが即座に発生しない場合でも、データベースの資格情報の開示は完全な侵害に対して十分であることが多いです。.

Q: 私のログには試行が表示されていますが、明らかなファイル内容はありません — 私は安全ですか？
A: 試行は成功した悪用と同じではありません。しかし、試行は攻撃者があなたのサイトを調査していることを示しています。ブロックルールを有効に保ち、コンテンツと資格情報の監査を行い、調査が広範囲にわたる場合は秘密を回転させることを検討してください。.

Q: テーマの作者はまだパッチをリリースしていません — 私は何をすべきですか？
A: WAFを介して仮想パッチを適用し、可能であればテーマを無効にし、上記の他の緩和策を適用してください。可能であれば、安全な代替テーマに置き換えてください。.

責任ある開示のための開発者ガイダンス

あなたがセキュリティ研究者またはテーマ開発者で、開示を調整する必要がある場合：

• あなたの管轄および文脈に適した責任ある開示のタイムラインに従ってください。.
• テーマの作者に明確な技術的な文書とPoCを最初にプライベートで提供してください。.
• 公開開示の前にベンダーに修正の時間を与えてください。ただし、積極的な悪用が広範囲にわたる場合は除きます。.

サンプル法医学チェックリスト

• ログ（アクセス、PHPエラーログ）を少なくとも90日間保存してください。.
• 現在のファイルシステムをキャプチャします（tar + チェックサム）。.
• 最近変更されたファイルを特定します：
  • find /path/to/wordpress -type f -mtime -30
• 疑わしい管理ユーザーやスケジュールされたタスク（wp_cronフック）を検索します。.
• インストールされているプラグインとテーマのリストを確認し、それらが最新であるかどうかを確認します。.

ログに表示される可能性のある例の悪用シグネチャ

• ?page=../../../../wp-config.php
• ?file=php://filter/convert.base64-encode/resource=../../../../wp-config.php
• ?template=../../../../../etc/passwd
• エンコードされたトラバーサル: wp-config.php
• ヌルバイトの試行: %00 ファイル名に追加される（古いPHP）

長期的な防御戦略

• 多層のセキュリティ姿勢を採用する: ハードニング、監視、WAF、最小特権、バックアップ、インシデントレスポンス計画。.
• ステージングと本番環境で定期的にセキュリティスキャンを実行する。.
• プラグインとテーマの使用を信頼できる、積極的にメンテナンスされているソースに制限する。.
• 不変のスナップショットを使用した継続的なバックアップを実装する。.
• ステージングでベンダーパッチをテストしてからデプロイする段階的な更新プロセスを使用する。.

WP‑Firewallで無料でサイトを保護する

あなたのサイトを即座に保護 — 無料のWP‑Firewallプラン

脆弱性アラートがどれほどストレスになるか理解しています — 特にそれが認証されておらず、高い深刻度の場合は。だからこそ、WP‑Firewallは即時保護のために設計された基本無料プランを提供しています。無料プランには以下が含まれます:

• 必要なWAFルールを備えた管理されたファイアウォール
• 無制限の帯域幅保護
• マルウェアスキャナー
• OWASPトップ10リスクの軽減策

今すぐサインアップして、ベースライン保護を迅速に有効化する: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

自動削除、高度なIP制御、仮想パッチ、月次レポート、プレミアムアドオンが必要な場合は、無料プランで保護された後に有料プラン（スタンダードとプロ）を検討してください。.

WP‑Firewallからの締めくくりの考え

CVE‑2026‑28051のようなLFI脆弱性は、WordPressセキュリティにおける2つの真実を浮き彫りにします:

1. 厳格なホワイトリストなしでユーザー制御のファイルインクルージョンを許可するテーマとプラグインのコードは、本質的にリスクがあります。.
2. WAFの仮想パッチとシンプルなベストプラクティス（厳格なファイル権限、資格情報のローテーション、監視）による迅速な緩和は、ブロックされたプローブと完全な侵害の違いを意味することがあります。.

Yacht Rentalテーマ（≤ 2.6）を実行している場合や、それをホストしているサイトがある場合は、今すぐ行動を起こしてください：

• 検出： ログを検索し、疑わしいリクエストをスキャンします。.
• 緩和： テーマを切り替え、WAFルールを適用し、権限を厳格にします。.
• 修正： 安全なリリースが到着したらテーマを更新し、露出した場合は秘密をローテーションします。.

WP‑Firewallはお手伝いします：私たちの管理されたルールセットとスキャンツールは、WordPressサイトをLFIやその他の一般的なウェブ脅威から保護するために設計されています。無料保護ページを訪れて、10分以内にリスクを減らすために始めましょう： https://my.wp-firewall.com/buy/wp-firewall-free-plan/

---

カスタマイズされたインシデントレスポンスプラン、ガイド付きクリーンアップ、または多数のWordPressサイトのための仮想パッチの適用に関する支援が必要な場合は、私たちのセキュリティチームがサポートします。サインアップ後にWP‑Firewallダッシュボードを通じてお問い合わせいただくか、修復ガイドのためにサポートエリアを参照してください。.