2026年7月17日、認証不要でリモートからの任意コード実行(RCE)につながる脆弱性「CVE-2026-63030」「CVE-2026-60137」を修正したWordPress 6.8.6、6.9.5、および 7.0.2 が公開されました(参考:WordPress 7.0.2 Release)。Searchlight Cyber の Adam Kues 氏により報告された脆弱性です。 弊社 GMO Flatt Security リサーチチームの追加検証では、脆弱なバージョンでは標準構成でも、管理者の認証情報等を要さずに、リモートからの任意コード実行が可能である と判断しています。直近発見された脆弱性の中でも、相対的に深刻度が高く、WordPress のアップデートなしでは、WordPress データベースやサーバ内のさまざまな情報の窃取や、ページの改ざん、他悪性スクリプトの設置など、様々



