WordPressでフォームを作成するプラグイン「SureForms – Drag and Drop Form Builder for WordPress」のバージョン 1.7.3 以下のすべてのバージョンで、極めて深刻なセキュリティ脆弱性が発見されました。
この脆弱性により、ログイン不要で攻撃者がサイトの重要ファイルを削除し、サイトを完全に機能停止に追い込むことが可能となっています。最悪の場合、サイトの完全乗っ取りやサーバー内の全データ漏洩につながるリスクがあるため、直ちに対策バージョン 1.7.4 以降への更新を強く推奨します。
想定される事象
| 想定される被害 | この脆弱性により、以下のような壊滅的な被害が想定されます ・サイトの完全機能停止 - WordPressの設定ファイル(wp-config.php)が削除される - データベース接続不能によるサイト表示不可 - 復旧に専門知識と長時間を要する深刻な障害 ・機密情報の大量漏洩 - データベースのパスワードや接続情報が露出 - 顧客情報、会員データ、決済情報の漏洩リスク - サーバー内の他サイトの情報も危険にさらされる ・サイトの完全乗っ取り - 攻撃者による悪意のあるコード実行 - サイト内容の改ざんや不正ページの設置 - フィッシングサイトや詐欺サイトに変貌する可能性 ・ビジネス継続への深刻な影響 - ECサイトの場合、売上機会の完全損失 - 顧客の信頼失墜と離脱 - 法的責任や損害賠償請求のリスク - 復旧費用や機会損失による経済的打撃 ・法的・社会的リスク - 個人情報保護法違反による行政処分 - 顧客や取引先からの損害賠償請求 - 企業の社会的信用の失墜 - 同業他社への影響波及 |
|---|---|
| 技術的な詳細 | この脆弱性は、以下の問題に起因します (1) フォーム機能を悪用した破壊攻撃 ・サイト訪問者が誰でも悪意のあるデータを送信可能 ・フォーム送信時に危険なファイルパス(wp-config.php)を指定 ・通常のフォーム利用と見分けがつかない巧妙な攻撃 (2) 管理者操作をトリガーとした時限爆弾 ・攻撃は管理者がフォームエントリを削除した瞬間に発動 ・管理者が気づかずに自らの手で重要ファイルを削除 ・日常的な管理作業が破壊的攻撃の引き金となる設計欠陥 (3) サーバー全体への影響拡大 ・WordPressの設定ファイル削除でデータベース情報が露出 ・セキュリティ設定ファイル削除によるサーバー防御機能の無効化 (4) 攻撃の隠蔽性と発見困難性 ・正常なプラグイン機能として動作するため検知が困難 ・被害発生まで攻撃の存在に気づけない ・復旧時にも攻撃痕跡の特定が困難 |
| 脆弱性の種類 | CWE-73 ファイル名やパス名の外部制御(任意ファイル削除) CWE-502 信頼できないデータのデシリアライゼーション(PHP Object Injection) |
| 推奨対応事項 | 該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します (1) 最優先の緊急対策 ・プラグインを対策バージョン(1.7.4以降)に今すぐ更新 (2) 被害状況の緊急確認 ・サイトの表示確認 - フロントページが正常に表示されるか - 管理画面にログインできるか - データベース接続エラーが出ていないか ・ファイルの整合性確認 - wp-config.phpファイルが存在するか - .htaccessファイルが正常か - 重要なプラグインファイルが欠損していないか ・フォームエントリの確認 - 不審なファイルパスを含むエントリがないか - 最近削除したエントリに不審な内容がなかったか (3) セキュリティ強化対策 ・定期的なプラグイン更新:すべてのプラグインを最新版に保つ ・セキュリティプラグインの導入:Wordfence等の導入で攻撃検知を強化 ・ファイル監視の実施:重要ファイルの変更を検知するシステム構築 ・バックアップの自動化:毎日のバックアップで被害最小化 ⇒サイトが表示されない、管理画面にログインできない等の症状がある場合は、既に被害を受けている可能性があります。直ちに専門家への相談をお勧めします。 |
| 影響を受けるバージョン | SureForms の下記バージョン 0.0 – 0.0.13 、 1.0 – 1.0.6 、 1.1 – 1.1.1 、 1.2 – 1.2.4 1.3 – 1.3.1 、 1.4 – 1.4.4 、 1.5 、 1.6 – 1.6.4 、 1.7 – 1.7.3 |
| 脆弱性情報 (CVE-ID / 公開日) | CVE-2025-6742 / RESERVED(2025/07/09時点) CVE-2025-6691 / RESERVED(2025/07/09時点) |
| 脆弱性の深刻度 (CVSS v3) | 基本値: 7.5 (重大) [Wordfence] 基本値: 8.1(重大) [Wordfence] |
参考
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
SureForms プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
WordPress プラグイン SureForms 情報
| 最新版 バージョン | 1.7.4 |
|---|---|
| 対象 WordPress バージョン | 6.4 またはそれ以降 検証済み最新バージョン :6.8.1 |
| 有効インストール数 | 200,000+ |
| プラグイン ページ | SureForms – Drag and Drop Form Builder for WordPress – WordPress プラグイン | WordPress.org 日本語 |
