Advanced Google reCAPTCHAがv5.39に。
free版が1.35から5.39に
Advanced Google reCAPTCHAはfree版を使用している。free版は1.35だったが、急に5.39への更新案内が来て驚いた。
ただでさえバージョン上げると動かなくなることもあるのに。
ここの変更履歴に書いてある。
Updated the free version number to keep the free and PRO releases aligned and avoid confusion around public security advisories. The reported issue (CVE-2026-5411) affected the PRO version only (not the free one) and was already patched, but because both versions share the same plugin slug, some users and automated tools could and did misinterpret the version numbers. Aligning the free version with the PRO version makes it clearer that the installed plugin is current and helps prevent unnecessary concerns
(https://nl.wordpress.org/plugins/advanced-google-recaptcha/?utm_source=chatgpt.com#developers)
CVE-2026-5411はPRO版のみに影響して無料版には影響しないけど、同じプラグインスラッグを共有しているために、一部のセキュリティスキャナで脆弱性判定される可能性があった。だから無料版とPRO版のバージョン番号を一致させた、ということらしい。
スラッグやバージョンが無料版とPro版で一致しない場合もないわけではないし、バージョンも必ずしも0xや1xからではなく、いきなり5xや10xで始めることも設計としては無いと言えない。
これに関しては脆弱性に加え、バージョンと識別子の設計のズレによるものであった。
CVE-2026-5411とは
WordPress の WP Captcha PRO(Advanced Google reCAPTCHA の有料版) に存在した深刻な脆弱性で、認証済みの低権限ユーザー(Subscriber権限以上)が、サーバー上に任意のファイルをアップロードできてしまう。
攻撃者は、ライセンス情報に細工したURLを設定、プラグインがそのURLからファイルを取得、ファイル種別の検証なしで展開という流れで、PHP Web Shellなどの悪意あるファイルをアップロードできる可能性がある。結果として、Remote Code Execution(RCE:任意コード実行) に発展し、サイト乗っ取りにつながる恐れがある。
これによる影響範囲は、WP Captcha PRO / Advanced Google reCAPTCHA PRO 5.38 以下。
CVE-2026-5411(CVE)、CVE-2026-5411 Detail(NVD)を参照。
CVEとはなんぞやは、わわわIT用語辞典で、簡潔に言うと、脆弱性が公開されているデータベースの一つ。