WordPressでメール送信機能を提供するプラグイン「SureMail – SMTP and Email Logs Plugin」のバージョン 1.9.0 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者がメールフォーム経由で不正なファイルをアップロードし、特定のサーバー環境下でサイトを乗っ取られる可能性があります。対策バージョン 1.9.1 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 不正なファイルのアップロード
- サイト訪問者がコンタクトフォームなどから送信したメール添付ファイルが、自動的にWeb公開ディレクトリに保存される
- ファイルの種類や内容のチェックが行われないため、危険なファイルもそのまま保存される
- サーバー環境によるコード実行
- nginx、IIS、Lighttpdなどのサーバー環境、または設定が不十分なApacheサーバーで稼働しているサイトでは、アップロードされた不正なPHPファイルが実行可能となる
- サイトの完全な乗っ取り、データベース情報の窃取などが可能となる
- 被害発生の条件
- Contact Form 7、WPFormsなど、メール添付機能のあるフォームプラグインを使用している
- nginx、IIS、Lighttpd、または設定不備のApacheサーバーで運用している
- 攻撃者による認証は不要(誰でもフォームからファイルを送信できる)
技術的な詳細
この脆弱性は、以下の問題に起因します。
- ファイル検証の欠如
- メール添付ファイルを保存する際、ファイルの拡張子やファイル形式(MIMEタイプ)のチェックが実装されていなかった
- そのため、PHPファイルなどの実行可能なファイルも制限なく保存されてしまう
- 保存場所と保護の不備
- ファイルは
wp-content/uploads/suremails/attachments/というWebからアクセス可能な場所に保存される - Apache向けの保護設定ファイル(.htaccess)のみが用意されていたが、nginx、IIS、Lighttpdでは効果がな
- ファイルは
- ファイル名の予測可能性
- 保存されるファイル名がファイル内容から計算可能な形式だったため、攻撃者がアップロード後のファイル位置を特定しやすい
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(1.9.1以降)に更新。
- 被害確認
- サーバー上の
wp-content/uploads/suremails/attachments/ディレクトリを確認し、不審なPHPファイルがないかチェック - 特に
.php、.phtml、.pharなどの拡張子を持つファイルに注意 - Webサーバーのアクセスログで、同ディレクトリへの不審なアクセス(特にPHPファイルへの直接アクセス)がないか確認
- サーバー上の
- 追加のセキュリティ対策
- 使用しているWebサーバーの種類と設定を確認
- nginxやIISをご利用の場合は、アップロードディレクトリでのスクリプト実行を明示的に禁止する設定を検討
⇒不審なファイルやアクセスログが確認された場合は、WordPressの専門家やサーバー管理者への相談をお勧めします。
影響を受けるバージョン
SureMail – SMTP and Email Logs Plugin 1.9.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-13516 
(公開日 2025年12月2日 更新日 2025年12月2日)
脆弱性の深刻度 (CVSS v3)
基本値: 8.1 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-13516 悪用確率 0.20% (上位58%) 2025年12月4日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
SureMail プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
