WordPressでフォームの送信データを保存できるプラグイン「Database for Contact Form 7, WPForms, Elementor Forms」に、認証不要で悪用できる重大な脆弱性(CVE-2025-7384)が発見されました。
この脆弱性はサイトの完全な乗っ取りに繋がる可能性があり、使用中の方はただちに対処が必要です。
脆弱性の概要
- 対象プラグイン
Database for Contact Form 7, WPForms, Elementor Forms(通称:Contact Form Entries Plugin) - 影響バージョン
1.4.3 まで(これ以前のすべてのバージョンが対象) - 脆弱性の種類
PHP Object Injection(任意オブジェクト注入) - 深刻度
CVSSスコア 9.8(Critical)
何が問題なのか?
このプラグインでは、get_lead_detail 関数で外部から渡されたデータをそのままPHPオブジェクトとして復元(unserialize)してしまう処理が存在します。
これにより、攻撃者は細工したデータを送り込み、サーバー側で任意のコードを実行させることが可能になります。
さらに、Contact Form 7 が同時に有効化されている場合は、この脆弱性とContact Form 7内のPOP(Property-Oriented Programming)チェーンを組み合わせることで、
- 任意のファイル削除(例:
wp-config.php) - サイトの再インストールによる管理者権限の奪取
など、深刻な被害に直結します。
攻撃に認証は不要
特に危険なのは、攻撃にユーザー認証が不要な点です。
フォームが設置されていれば、誰でもインターネット経由で攻撃可能です。
このため、公開サイトで当該プラグインを利用している場合は、放置すれば短時間で被害が発生するリスクがあります。
被害規模
このプラグインは世界中で70,000以上のサイトにインストールされているとされ、潜在的な影響範囲は非常に大きいです。
対策方法
- 最新版へのアップデート
バージョン 1.4.4 以降に更新してください。可能であれば常に最新版に保つことが望ましいです。 - 不要なプラグインは削除
使っていないフォーム関連プラグインは削除することで、攻撃対象を減らせます。 - セキュリティ監視ツールの導入
Wordfence や Patchstack などのセキュリティプラグインを導入し、脆弱性情報の通知を受け取れる状態にしておくことをおすすめします。
まとめ
今回の脆弱性は、認証不要で悪用でき、ファイル削除や管理者奪取といった深刻な攻撃に繋がる非常に危険なものです。
すでに開発者から修正版がリリースされており、最新版にアップデートするだけで防げます。
WordPressには脆弱性を報告する仕組み、改善するフローが確立しているので、アップデートするだけで安全に使用できます。
コメントを残す